Blog de Compliance

La Importancia de Comparar tu Programa de Cumplimiento con Estándares.

Elección del artículo: La elección de este artículo es importante porque resalta el benchmarking como una herramienta estratégica clave para garantizar programas de cumplimiento efectivos, alineados con normativas locales e internacionales. Ofrece una visión práctica que empodera a los oficiales de cumplimiento/sujetos responsable, ayuda a justificar recursos y fortalece la confianza de reguladores y partes interesadas.


Fuente: Este artículo apareció originalmente como una publicación de NAVEX: https://www.navex.com/en-us/blog/article/the-importance-of-benchmarking-your-compliance-program/

Autor: Matt Kelly


Transcripción traducida y ajustada por ICR


Artículo Traducido:

A veces, las preguntas sobre los programas de cumplimiento corporativo pueden ser más complejas de lo que parecen a simple vista. Esto quedó claro cuando un oficial de cumplimiento me preguntó recientemente: “¿Puedes señalar algo específico que explique por qué los oficiales de cumplimiento deberían comparar sus programas con estándares? Algo como un requisito formal que pueda presentar ante la junta directiva”.

Al principio, casi no entendí la pregunta. ¿No es evidente el valor de comparar? ¿No han insistido los reguladores durante años en la importancia de medir tu programa de cumplimiento frente a las normas de la industria? ¿No es esta práctica esencial por sí misma?

Sin embargo, al investigar, descubrí que las directrices explícitas del tipo “Debes comparar” prácticamente no existen.

Aunque esto es cierto, comparar tu programa de cumplimiento con las normas de la industria sigue siendo crucial para garantizar el éxito a largo plazo. Analicemos los argumentos que respaldan esta práctica para ayudarte a obtener el apoyo de las distintas áreas de la empresa cuya colaboración será clave.

Beneficios frente a los reguladores

No encontrarás las palabras “comparar” o “benchmarking” en las guías del U.S. Department of Justice (DOJ), la FCPA Resource Guide ni en otros textos fundamentales para los profesionales del cumplimiento. Tampoco he encontrado discursos de funcionarios del DOJ que mencionen directamente la importancia de esta práctica desde al menos 2014.

Sin embargo, esto no significa que puedas ignorar el benchmarking. Todo lo contrario: comparar tu programa con otros es esencial para cumplir con las expectativas de los reguladores, incluso si no utilizan esa palabra específicamente.

Considera las siguientes preguntas incluidas en las guías del DOJ para programas de cumplimiento efectivo. Estas son preguntas que los fiscales podrían plantear dependiendo del caso de mala conducta en cuestión:

  • ¿Qué medidas ha tomado la empresa para determinar si sus políticas, procedimientos y prácticas son adecuadas para segmentos de negocio o subsidiarias específicas?
  • ¿La empresa revisa y adapta su programa de cumplimiento basándose en las lecciones aprendidas de su propia experiencia o de la de otras empresas con riesgos similares?
  • ¿Qué metodología ha utilizado la empresa para identificar, analizar y abordar los riesgos específicos que enfrenta?
  • ¿Están los mecanismos de reporte e investigación suficientemente financiados?

Responder bien a estas preguntas requiere tener una comprensión clara de cómo se compara tu programa de cumplimiento con el de empresas similares. El benchmarking permite situar tu programa en un contexto más amplio y demostrar de manera convincente que tu organización está otorgando al cumplimiento la atención, los recursos y el respeto que merece.

Además, las guías del DOJ indican: “Los fiscales deben considerar si la empresa ha realizado esfuerzos significativos para revisar su programa de cumplimiento y garantizar que no esté desactualizado”.

Sin el contexto proporcionado por el benchmarking, cualquier actualización de tu programa se hará en un vacío. Este enfoque puede funcionar, pero si ocurre un fallo de cumplimiento que otras empresas ya resolvieron hace tiempo, la decisión de no realizar comparaciones puede tener consecuencias graves.

Beneficios dentro de tu empresa

Comparar tu programa de cumplimiento también aporta ventajas prácticas en el ámbito interno. Por ejemplo:

  • Con la dirección: Cuando solicitas presupuesto o personal, la mayoría de los equipos directivos apoyan un programa de cumplimiento sólido en teoría, pero prefieren hacerlo al menor costo posible. Esto es comprensible. Presentar evidencia de cómo otras empresas, especialmente tus pares, gestionan sus programas de cumplimiento puede ayudarte a justificar tus solicitudes de forma convincente.
  • Con las unidades operativas de primera línea: Cuando pides cambios en políticas o procedimientos con fines de cumplimiento, es más fácil persuadir a estas áreas si puedes demostrar con evidencia cómo otras organizaciones abordan el mismo problema.
  • Con otras funciones de control de riesgos, como legal, TI o auditoría interna: Por ejemplo, si deseas que el CCO reporte directamente al CEO en lugar de a la junta, usar datos de benchmarking de empresas similares puede ayudar a respaldar la viabilidad de esta estructura.

Entender cómo se compara tu programa con el de otras empresas te permite mantenerlo sólido y bien respaldado.

Beneficios para tu propio programa de cumplimiento

Quizás lo más importante es que comparar tu programa de cumplimiento te ayuda a evaluar si tu enfoque realmente está funcionando.

Por ejemplo, supongamos que detectas un aumento en las denuncias internas sobre acoso sexual. ¿Cómo determinar si este incremento se debe a factores sociales amplios, como el movimiento #MeToo, o a problemas específicos de tu organización, como un gerente problemático?

Es prácticamente imposible responder sin comparar los resultados de tu programa con las normas de la industria. De hecho, este ejemplo se basa en el Whistleblowing & Incident Management Benchmark Report de NAVEX, que identificó un aumento de denuncias de acoso tras #MeToo, tendencia que eventualmente se estabilizó en la década de 2020.

Otro ejemplo es la estructura de tu programa:

  • ¿Tienes suficiente personal para el tamaño de tu organización?
  • ¿Tu presupuesto es adecuado?
  • ¿Tu compensación como oficial de cumplimiento es competitiva?

La Society of Corporate Compliance & Ethics publica encuestas periódicas de presupuesto y salarios que ayudan a situar estos aspectos en contexto.

Además, proveedores, consultoras, asociaciones comerciales e incluso medios de comunicación publican regularmente estudios de benchmarking sobre una amplia gama de temas.

Para los oficiales de cumplimiento, comparar su programa con estándares de la industria es fundamental para el éxito en múltiples aspectos. Permite demostrar a los reguladores que has pensado cuidadosamente en cómo abordar los riesgos de cumplimiento de tu organización; facilita mejores conversaciones con las distintas áreas de la empresa sobre el funcionamiento del programa; y ayuda a ti y a tu equipo a comprender mejor los datos de cumplimiento que generan.

¿Existe algún mandato que diga: “Debes comparar”? No. Pero sería prudente gestionar tu programa como si existiera uno.


Comentarios ICR:

La Comparación como Clave del Éxito en la Gestión de Cumplimiento

En el ámbito de la gestión de cumplimiento corporativo, a menudo se subestima la importancia de comparar programas con estándares de la industria. A primera vista, podría parecer una práctica secundaria frente a otras prioridades, pero en ICR creemos firmemente que es un elemento fundamental para garantizar un programa efectivo y sostenible.

El silencio de los reguladores no debe ser interpretado como irrelevancia

Es cierto que las guías del U.S. Department of Justice (DOJ), como la FCPA Resource Guide, no mencionan explícitamente el benchmarking como un requisito. Sin embargo, los fiscales y reguladores evalúan los programas de cumplimiento en función de su capacidad para abordar riesgos específicos, adaptarse a circunstancias cambiantes y aprender de las experiencias de otros. Esto convierte al benchmarking en una herramienta implícita pero poderosa para demostrar que una organización está comprometida con un enfoque sólido y proactivo. Las preguntas clave de los reguladores —como si las políticas son efectivas para diferentes segmentos de negocio o si los mecanismos de reporte están adecuadamente financiados— no pueden ser respondidas en ausencia de un contexto externo. Sin una comparación activa con empresas similares, las decisiones podrían tomarse en un vacío, dejando a la organización vulnerable a riesgos que ya han sido mitigados por sus pares.

Un beneficio práctico para las organizaciones

Desde la perspectiva de ICR, uno de los mayores beneficios del benchmarking radica en su capacidad para facilitar el diálogo interno. La gestión de cumplimiento no opera en una burbuja; depende de la colaboración con múltiples áreas de la empresa. Comparar programas con estándares de la industria fortalece los argumentos del oficial de cumplimiento o del sujeto responsable al interactuar con la dirección, unidades operativas y otros equipos de control de riesgos, como auditoría interna o TI.

Por ejemplo, si un oficial de cumplimiento o sujeto responsable necesita justificar una solicitud de presupuesto adicional o un cambio en las políticas, presentar datos concretos sobre cómo los pares gestionan sus programas puede marcar la diferencia. Esto no solo ayuda a ganar credibilidad, sino que también asegura que las decisiones se basen en prácticas comprobadas, no en suposiciones.

Un compromiso personal con la excelencia

Desde un punto de vista más amplio, el benchmarking también ayuda al oficial de cumplimiento o sujeto responsable a evaluar si su enfoque realmente está funcionando.

En el caso de Chile, tras la entrada en vigencia de la Ley Karin (Ley N°21.643) el 1 de agosto de 2024, se ha triplicado el número de denuncias por acoso laboral en el país. Esto pone de manifiesto la necesidad de que las empresas entiendan estas tendencias dentro de un contexto más amplio. Por ejemplo, ¿cómo distinguir entre un aumento de denuncias debido a un cambio cultural o normativo impulsado por esta ley, y un aumento atribuible a problemas internos específicos, como la gestión deficiente de un área en particular?

Es prácticamente imposible responder sin comparar los resultados de tu programa con los de la industria. El benchmarking permite identificar si las tendencias observadas son una respuesta natural al nuevo marco normativo o si revelan problemas estructurales dentro de la organización que requieren atención inmediata.

Otro ejemplo relevante es la estructura del programa de cumplimiento:

  • ¿La organización cuenta con suficiente personal para abordar adecuadamente sus riesgos?
  • ¿Dispone de un presupuesto adecuado?
  • ¿El oficial de cumplimiento o sujeto responsable recibe una compensación acorde a su rol y responsabilidades?

En este sentido, herramientas como las encuestas de presupuesto y salarios de organismos internacionales, adaptadas al contexto local, son esenciales para situar estas cuestiones en perspectiva.

La visión de ICR: Una práctica esencial, aunque no explícita

Aunque no existe un mandato regulatorio explícito que exija el benchmarking, en ICR creemos que actuar como si lo hubiera es una estrategia sabia. Este enfoque no solo ayuda a cumplir con las expectativas regulatorias, sino que también refuerza la capacidad de una organización para adaptarse y prosperar en un entorno empresarial en constante cambio.

En última instancia, un programa de cumplimiento que no se compara con estándares externos corre el riesgo de quedar obsoleto, operar en aislamiento y fallar en los momentos más críticos. La comparación es, por tanto, no solo una herramienta útil, sino una necesidad estratégica para cualquier organización comprometida con la excelencia en cumplimiento.

ICR se compromete a apoyar a las empresas en la evaluación y fortalecimiento de sus programas de cumplimiento. Creemos que la comparación no solo aporta valor, sino que también proporciona las bases para decisiones informadas y programas más robustos.

Cumplimiento y ciberseguridad: trabajar y preocuparse juntos por la intersección de las personas y la tecnología.

Elección del artículo: En el mundo actual, donde las tecnologías avanzan más rápido que nunca, proteger la información ya no es tan sencillo como antes. Este artículo revela cómo el rol de compliance ha evolucionado para enfrentar las amenazas cibernéticas modernas, obligando a los profesionales a adaptarse al vertiginoso desarrollo tecnológico. Desde la inteligencia artificial hasta la computación cuántica, las nuevas tecnologías traen consigo no solo oportunidades, sino también riesgos críticos que deben ser gestionados con una estrategia sólida de ciberseguridad y compliance. La colaboración entre estos dos campos ya no es solo una opción, sino una necesidad urgente para mantenerse al día con las expectativas regulatorias y proteger la integridad de las organizaciones.


Fuente: Este artículo apareció originalmente como una publicación de NAVEX: https://www.navex.com/en-us/blog/article/compliance-cybersecurity-working-and-worrying-together-about-the-intersection-of-people-and-technology/

Autor: Bill Cameron

Transcripción traducida y ajustada por ICR


Artículo Traducido:

No soy un experto en ciberseguridad, pero como profesional de compliance, responsable de las investigaciones internas de mala conducta de empleados y terceros, he tenido un asiento de primera fila para observar la evolución del riesgo que ha acompañado la adopción masiva de nuevas tecnologías.

Proteger la información solía ser menos complejo. Mantener a los actores malintencionados fuera de una organización significaba tener cercas, cerraduras en las puertas y guardias de seguridad. Gestionar el riesgo de que empleados y otros internos hicieran un mal uso o robaran activos e información era un poco complicado, pero las buenas prácticas de contratación, las cámaras de seguridad y las políticas simples de limitación de acceso físico funcionaban bastante bien. Después de todo, robar información significaba llevarse o copiar físicamente documentos y salir con ellos, o tomar fotos con una cámara y luego revelar el rollo. Algo bastante engorroso e ineficiente.

Ahora, todo eso suena como historia antigua, aunque realmente no lo es. El iPhone debutó en 2008 y, aunque los primeros bancos nombraron a sus primeros directores de seguridad de la información en los años 90, esta posición no se volvió común hasta hace aproximadamente una década.

Hoy en día, todos llevamos una combinación de computadora/cámara/dispositivo de grabación en nuestros bolsillos. Las laptops han reemplazado a las voluminosas PC, y cada herramienta de negocios es generalmente más pequeña, más rápida y más capaz de ser tanto una herramienta como un objetivo de ataques.

La observación del cofundador de Intel, Gerald Moore, de que la potencia de procesamiento de las computadoras se duplica cada dos años (la Ley de Moore), se menciona a menudo para resaltar la velocidad del avance tecnológico y, si acaso, está subestimada.

La nueva tecnología, impulsada por la conectividad casi universal de la información a través de internet, ha generado un ciclo perpetuo de desarrollo de software y otros productos sofisticados que impulsan la productividad y la eficiencia.

Las tecnologías y el software más recientes que son imprescindibles tientan tanto a las grandes como a las pequeñas empresas con infinitas formas de innovar y volverse más eficientes y rentables. Esto, a su vez, ha puesto a prueba la ingeniosidad de los actores de amenazas y ha impulsado a los gobiernos a elevar sus expectativas para que las empresas enfrenten los nuevos riesgos de seguridad de la información.A medida que la inteligencia artificial (IA) se despliega y el riesgo de la computación cuántica se avecina, el progreso y el riesgo han empujado a las funciones corporativas de compliance y seguridad, ambas recién llegadas al intenso foco de la supervisión gubernamental y la responsabilidad ante las partes interesadas, a pasar de ser simples aliadas a convertirse en las mejores amigas para siempre.

La relación en evolución (y esencial) entre Seguridad y Compliance

Como nuevos mejores amigos, los profesionales de ciberseguridad y sus contrapartes en compliance ven cada vez más cómo sus áreas de experiencia y responsabilidad se interceptan y se superponen. A medida que se expone una mayor cantidad de información crítica (por ejemplo, datos de clientes y otra información personal identificable), se implementan nuevas políticas de compliance y herramientas cibernéticas para abordar el riesgo. Las herramientas lanzadas por programas de amenazas internas cibernéticas generan nuevas categorías de investigaciones internas y destacan nuevas áreas de riesgo para que los equipos de compliance aborden.

Las expectativas de supervisión gubernamental también están aumentando. Por ejemplo, la Evaluación de Programas de Compliance Corporativa del Departamento de Justicia de EE. UU. contempla claramente la evaluación y mitigación de los riesgos presentados por controles cibernéticos débiles, incluida la pérdida de datos, la privacidad y el impacto operativo. Además, la Comisión de Bolsa y Valores de EE. UU. (SEC) adoptó recientemente reglas que exigen que las empresas que cotizan en bolsa revelen incidentes de ciberseguridad materiales, así como su estrategia para gestionar sus riesgos de ciberseguridad.

Así que, los riesgos son reales, el panorama está cambiando rápidamente y los stakeholders —gobierno, clientes, empleados y otros— están observando. Construir y mantener una cultura corporativa que adopte la vigilancia necesaria para cumplir con las expectativas de esos stakeholders requiere una sólida asociación entre los programas de compliance y ciberseguridad.

Evaluaciones de riesgo de compliance

Si están llevando a cabo evaluaciones de riesgo de compliance de manera integral (y claro que deberían hacerlo), la ciberseguridad debe evaluarse como un riesgo independiente y no agruparse con otros riesgos operativos o departamentales. Además, si su equipo central de compliance no cuenta con experiencia en ciberseguridad, considere involucrar a un profesional de ciberseguridad en el equipo de evaluación de riesgos de compliance.

Capacitación

La capacitación en compliance y la capacitación en ciberseguridad deben ser complementarias y tener objetivos comunes. Ambos equipos deben estar al tanto de las iniciativas del otro y, siempre que sea posible, reforzar los mensajes críticos de forma conjunta. Los proyectos de capacitación combinada, especialmente en áreas de responsabilidad compartida, pueden ayudar a enfatizar un mensaje coherente y permitir el uso eficiente de los recursos técnicos.

Comunicación

Es importante mantener una comunicación clara y coherente sobre los riesgos cibernéticos y las expectativas de compliance para evitar mensajes contradictorios dentro de la organización. Las organizaciones maduras saben que la responsabilidad no solo implica tomar medidas correctivas ante violaciones de políticas, sino también comunicar regularmente los riesgos y las medidas preventivas de manera proactiva, no solo después de una falla de seguridad o compliance.

Proveedores externos

Los terceros, como contratistas y proveedores, a menudo tienen un acceso significativo a los sistemas y tecnologías de la empresa y juegan un papel esencial en la finalización de proyectos importantes. Sin embargo, las expectativas de compliance y la supervisión de estos terceros suelen ser menos estrictas que las aplicadas a los empleados internos. Es fundamental que los profesionales de ciberseguridad y compliance trabajen junto con los responsables de la cadena de suministro y el área legal para definir estándares claros de capacitación y supervisión para los proveedores.

Compartición de datos

A medida que las organizaciones adoptan herramientas más avanzadas, es común que los datos y sistemas crezcan y evolucionen de manera desorganizada. Con frecuencia, los diferentes sistemas y plataformas no están bien integrados, lo que puede dificultar la detección de patrones y el análisis de riesgos. Compartir datos entre las distintas áreas de gobernanza puede ayudar a identificar tendencias y proporcionar una base sólida para la toma de decisiones basadas en evidencia.

2024 y más allá

A medida que el panorama de las amenazas cibernéticas se intensifica y aumentan las expectativas regulatorias, la asociación entre los líderes de ciberseguridad y compliance será clave para mitigar las amenazas internas, proteger la información confidencial y fortalecer los programas que puedan soportar el escrutinio de la aplicación gubernamental.


Comentarios ICR:

La rápida evolución tecnológica ha transformado la manera en que las organizaciones abordan la seguridad de la información y la gestión de riesgos. Como se menciona en el artículo, las estrategias que antes eran suficientes para proteger una empresa han quedado obsoletas frente a las amenazas actuales. Hoy en día, la inteligencia artificial (IA) se ha convertido en un pilar fundamental tanto para la innovación como para los desafíos en cumplimiento y seguridad.

En este contexto, la actualización de la guía del U.S. Department of Justice (DOJ) en septiembre de 2024 destaca la necesidad de regular y controlar el uso de la IA. Reconocemos que esta tecnología ofrece oportunidades extraordinarias para mejorar la productividad empresarial, pero también implica nuevos riesgos que requieren una gestión responsable.

La guía del DOJ enfatiza la importancia de implementar controles rigurosos para asegurar que la IA se use de manera ética y en conformidad con las leyes. Las empresas deben adoptar políticas claras de gobernanza y medidas de supervisión para garantizar que esta tecnología se emplee para los fines previstos, detectando y corrigiendo desviaciones con rapidez.

Desde nuestra perspectiva, esta regulación es fundamental para establecer un marco seguro y ético en el uso de tecnologías emergentes. La IA no solo tiene el potencial de impulsar el crecimiento empresarial, sino también de optimizar los mecanismos de cumplimiento y seguridad, siempre que se gestione con el cuidado adecuado.

A medida que la innovación continúa desafiando el statu quo, la integración de la IA en las operaciones corporativas debe ir acompañada de un enfoque sólido en ética y cumplimiento. Esta actualización del DOJ subraya la urgencia de que las empresas adopten estas tecnologías y, al mismo tiempo, asuman mayor responsabilidad en la gestión de sus riesgos. Creemos firmemente que el éxito a largo plazo de la IA dependerá de una regulación eficaz y del compromiso organizacional con el cumplimiento normativo.

Nos alineamos con las ideas planteadas sobre la evolución de la relación entre ciberseguridad y compliance. La integración de la ciberseguridad en el ADN de cumplimiento es esencial para que las organizaciones se mantengan al día con los riesgos emergentes y las expectativas regulatorias. Esta alianza permite no solo identificar y mitigar riesgos, sino también crear una cultura organizacional resiliente y proactiva.

En nuestro rol como evaluadores, hemos observado que algunas organizaciones agrupan la ciberseguridad con otros riesgos operativos, lo cual puede diluir su relevancia. Coincidimos con el artículo en que tratar la ciberseguridad como un riesgo independiente permite un análisis más preciso y una gestión más eficaz. Por eso, en nuestras evaluaciones recomendamos esta práctica para mejorar la identificación y mitigación de amenazas cibernéticas.

También coincidimos en que la capacitación integrada entre compliance y ciberseguridad es clave para el éxito organizacional. Hemos notado que la falta de coordinación entre ambas áreas puede debilitar la efectividad de los programas de prevención. Por ello, resaltamos la importancia de alinear las iniciativas de formación para maximizar su impacto.

Además, evaluamos cómo las organizaciones manejan la comunicación interna sobre riesgos y cumplimiento. Una comunicación inconsistente puede generar malentendidos y dificultar la implementación de políticas. Por eso, destacamos la relevancia de una comunicación coherente y proactiva en todos los niveles.

En cuanto a los proveedores externos, detectamos que las medidas de compliance aplicadas a terceros a menudo no alcanzan el nivel requerido para los empleados internos, lo que representa un riesgo significativo. Consideramos esencial que las empresas definan estándares claros y consistentes para sus terceros y mantengan una supervisión adecuada.

Finalmente, al evaluar la gestión de datos, hemos identificado que la falta de integración entre sistemas puede limitar la capacidad para detectar riesgos y tomar decisiones informadas. Coincidimos con el enfoque del artículo: compartir datos entre áreas de gobernanza ofrece mayores oportunidades para identificar tendencias y mitigar riesgos. En resumen, reafirmamos que la colaboración estrecha entre ciberseguridad y compliance es fundamental para enfrentar los desafíos regulatorios y de seguridad en un entorno cada vez más dinámico. Las empresas que fortalezcan esta integración estarán mejor preparadas para proteger su información sensible, cumplir con los requerimientos normativos y garantizar su sostenibilidad a largo plazo.

Cómo Las organizaciones más pequeñas pueden aspirar a grandes beneficios en materia de cumplimiento normativo

Este artículo resalta cómo las pequeñas y medianas empresas (PYMES) pueden desarrollar programas de gobernanza, riesgo y cumplimiento (GRC) efectivos a pesar de sus recursos limitados. Aunque estas organizaciones enfrentan desafíos únicos en comparación con sus contrapartes más grandes, los expertos coinciden en que existen estrategias y herramientas accesibles que pueden marcar una diferencia significativa en su gestión de riesgos y cumplimiento. Los líderes en GRC enfatizan que la ética y la integridad no solo son esenciales para cumplir con las normativas, sino también para construir una cultura de confianza tanto dentro como fuera de la empresa. Además, el artículo subraya la importancia de tener un mecanismo anónimo para la denuncia de irregularidades y una política contra represalias, lo cual es vital para fortalecer la confianza y la transparencia en el entorno laboral. Las organizaciones medianas tienen la oportunidad de diferenciarse en el mercado mediante la implementación de un programa de GRC que no solo cumpla con los estándares, sino que también impacte profundamente en la mentalidad y el comportamiento de sus empleados.

Fuente: Este artículo apareció originalmente como una publicación de NAVEX: https://www.navex.com/en-us/blog/article/how-smaller-organizations-can-aim-for-big-compliance-gains/

Autor: Eric Gneckom.

TRANCRIPCIÓN TRADUCIDA Y AJUSTADA POR ICR

Artículo traducido

Aunque las organizaciones más pequeñas pueden carecer de los recursos con los que cuentan sus competidores más grandes para llevar a cabo la tarea esencial de operar un programa sólido de gobernanza, riesgo y cumplimiento (GRC), los líderes en este campo coinciden en que estas organizaciones aún tienen múltiples oportunidades para mejorar de manera eficiente su madurez y efectividad.

Al aprovechar algunas soluciones rápidas y herramientas de bajo costo o sin costo alguno, las organizaciones con recursos limitados aún pueden evaluar su nivel de madurez y aspirar al tipo de desempeño en GRC que cada vez es más esperado tanto en organizaciones grandes como pequeñas, según indican los expertos.

Durante la conferencia virtual NAVEX Next 2023, Rebecca Walker, socia del bufete de abogados especializado en GRC Kaplan & Walker LLP, y Pat Harned participaron como ponentes. Los líderes de la industria enfatizaron que las pequeñas y medianas empresas (PYMES) deben comenzar reconociendo la importancia de GRC para sus organizaciones.

Está claro que, sin importar el tamaño de la organización, hay una razón real para prestar atención a la ética y al cumplimiento“, dijo Pat Harned, CEO de la organización sin fines de lucro Ethics and Compliance Initiative (ECI).

Las PYME se enfrentan a notables retos

Aunque las definiciones de lo que constituye una organización “pequeña”, “mediana” o “grande” pueden variar, los expertos señalaron que las dinámicas para aquellas que se encuentran en el segmento “medio” son particularmente desafiantes. Estas organizaciones pueden estar creciendo en alcance y complejidad como un todo, comentó Walker, pero sus programas de ética y cumplimiento a menudo siguen operando con recursos relativamente limitados.

Alrededor de la mitad de los encuestados de organizaciones medianas afirmaron que los empleados enfrentan presión para comprometer los estándares, según los datos de una encuesta de ECI de 2020 presentados en la sesión, que define a las organizaciones con entre 500 y 999 empleados como “medianas”. Aproximadamente el 30% de los encuestados en organizaciones tanto más pequeñas como más grandes dijeron lo mismo. Una dinámica similar surgió cuando se les preguntó si habían observado una mala conducta real: el 71% de los encuestados en organizaciones medianas respondió afirmativamente, en comparación con aproximadamente el 55% tanto en empresas más pequeñas como más grandes.

Creo que tiene sentido, ya que en las organizaciones más pequeñas se tiene la capacidad de monitorear a los empleados en tiempo real, con los gerentes trabajando junto a ellos. Hay una supervisión y monitoreo directo constante. Por otro lado, en las organizaciones más grandes, se cuenta con los recursos para tener controles más formales, quizás más de los que las organizaciones medianas podrían tener. Las organizaciones medianas están atrapadas en el medio: no pueden realizar ese monitoreo directo ni cuentan con los recursos para esos sistemas formales”, dijo Walker. “Es importante que esas organizaciones en el medio piensen en formas de mejorar sus sistemas de cumplimiento de una manera que sea rentable y que no dependa de la supervisión directa como control”.

Además, puede no tratarse únicamente de los controles en las empresas medianas; los empleados en estas organizaciones pueden estar enfrentando factores de estrés únicos que subrayan aún más la importancia y el desafío de un GRC efectivo.

Hay algo en el tamaño mediano de las empresas que claramente ejerce mucha presión sobre los empleados”, dijo Harned. “Si los empleados te dicen que están experimentando presión, es más probable que estén observando conductas indebidas a su alrededor”.

Determinar la eficacia de los programas para PYME

Walker señaló que el U.S. Department of Justice no solo evalúa el diseño de los programas, sino también si estos son efectivos en la práctica, como parte de sus evaluaciones. Esto incluye la conciencia de los empleados sobre el programa y la confianza que tienen en él, algo que la firma de Walker tiene en cuenta cuando realiza evaluaciones de programas para organizaciones grandes y pequeñas.

Generalmente, al contar con menos recursos, las organizaciones más pequeñas pueden tener programas de GRC en los que los roles y las áreas funcionales abarcan más responsabilidades que en las grandes empresas. Walker destacó que esta variación en el enfoque es ampliamente aceptada y que lo que más importa es si la organización está logrando sus objetivos de GRC en la práctica.

Cómo se ve el programa en el papel – sí, necesita verse bien en el papel. Pero, ¿está llegando a los corazones y mentes?”, dijo Walker.

Para evaluar la efectividad, Harned señaló que las encuestas a empleados sobre el programa de GRC, en comparación con los grupos focales, pueden ser efectivas para las organizaciones más pequeñas. Estas encuestas pueden ser rentables, según Harned, y ofrecen a los empleados la oportunidad de hablar sobre el programa sin ser escuchados por sus compañeros. También existen opciones de encuestas de terceros, que incluyen evaluaciones de madurez proporcionadas a través de ECI, las cuales ofrecen un intermediario neutral en el proceso.

Otra opción efectiva para la evaluación de programas con recursos limitados es trabajar de forma inversa a partir de las guías regulatorias del U.S. Department of Justice, según los expertos. Recursos de acceso gratuito.

Aunque las PYMES pueden no tener la misma sofisticación en los elementos del programa que sus competidores más grandes, estas evaluaciones pueden ayudar a determinar si el programa es aún efectivo en la práctica y cuál es su nivel de madurez y desempeño en el mundo real, señalaron Harned y Walker.

Consejos para que las PYME maduren sus programas

Tener la capacidad de que los empleados puedan reportar problemas de manera confiada y anónima realmente se considera – ni siquiera lo llamaría una mejor práctica o una buena práctica, sino una práctica esperada“, reiteró Walker.

Aun así, algunos elementos del programa representan formas significativas para que las PYMES mejoren la madurez y efectividad de su GRC. Estos incluyen un mecanismo interno que facilite la denuncia, incluyendo la denuncia anónima.

Una política escrita contra represalias es otra área donde las PYMES pueden madurar rápidamente su programa de GRC, ayudando a construir la confianza de que los denunciantes pueden plantear problemas sin temor a represalias. Hacer cumplir esa política puede ser más difícil, señaló Walker, pero su mera existencia es un buen primer paso.

En última instancia, Harned dijo que construir la confianza entre los empleados es fundamental. “Un programa de alta calidad no es un programa para marcar casillas“, afirmó.


“La confianza es un activo clave en un entorno empresarial cada vez más competitivo, y un buen programa de GRC puede ser un diferenciador significativo”


Comentarios de ICR

Desde nuestra perspectiva en ICR, creemos que incluso las organizaciones más pequeñas y medianas (PYMES) pueden desarrollar programas sólidos de gobernanza, riesgo y cumplimiento (GRC) que no solo respondan a las exigencias regulatorias, sino que también promuevan una cultura organizacional basada en la ética, la integridad y la transparencia. No se trata únicamente de evitar sanciones o cumplir formalidades, sino de fortalecer la confianza tanto de los empleados como de los socios, clientes y demás grupos de interés. La confianza es un activo clave en un entorno empresarial cada vez más competitivo, y un buen programa de GRC puede ser un diferenciador significativo.

 

El GRC como ventaja estratégica, no como carga

En ICR consideramos que uno de los mayores desafíos para las PYMES es cambiar la perspectiva sobre el GRC. Estas empresas suelen ver los programas de cumplimiento como una carga administrativa, cuando en realidad representan una oportunidad estratégica para consolidar su reputación y mejorar su gestión interna. Creemos que adoptar un enfoque proactivo hacia la ética y el cumplimiento puede ser la clave para abrir nuevas oportunidades de negocio y fortalecer relaciones de confianza a largo plazo.

Un ejemplo claro es la implementación de un mecanismo anónimo de denuncias. En la actualidad, este tipo de recurso ya no se considera solo una buena práctica, sino una expectativa fundamental para cualquier organización seria en materia de GRC. La posibilidad de que los empleados reporten irregularidades sin temor a represalias no solo protege a la empresa de riesgos legales y reputacionales, sino que también fomenta un entorno más seguro y transparente. Sin embargo, es crucial que estas políticas contra represalias no queden solo en papel; su correcta implementación es lo que realmente genera confianza en los colaboradores.

 

Desafíos particulares de las organizaciones medianas

Coincidimos con la visión planteada en el artículo sobre las dificultades únicas que enfrentan las organizaciones medianas. En ICR reconocemos que estas empresas suelen encontrarse atrapadas entre las ventajas operativas de las pequeñas empresas, con su supervisión directa, y los recursos formales de las grandes corporaciones. Esta posición intermedia les obliga a ser más creativas y eficientes en el uso de sus recursos, lo que, desde nuestra experiencia, puede traducirse en un enfoque innovador hacia la gestión de riesgos y el cumplimiento normativo.

Sabemos que los empleados en organizaciones medianas pueden experimentar altos niveles de presión, lo que incrementa el riesgo de observar o participar en conductas indebidas. Por ello, fomentamos la adopción de encuestas internas y anónimas como una herramienta efectiva para medir el clima organizacional y evaluar la percepción del personal sobre el programa de GRC. Estas encuestas no solo ofrecen información valiosa sobre posibles puntos de mejora, sino que también promueven una cultura de comunicación abierta.

 

Estrategias rentables para optimizar el GRC

Desde nuestra perspectiva, uno de los enfoques más efectivos para las PYMES es utilizar las guías regulatorias del U.S. Department of Justice como una base para desarrollar y evaluar sus programas de GRC. Este enfoque permite identificar áreas críticas y garantizar que los esfuerzos realizados estén alineados con las mejores prácticas internacionales. Además, las empresas pueden beneficiarse de herramientas gratuitas y recursos comparativos disponibles en el sitio oficial del U.S. Department of Justice. Estos recursos facilitan la implementación de mejoras continuas sin necesidad de realizar grandes inversiones.

Otro aspecto que consideramos esencial es la flexibilidad. Las PYMES suelen tener estructuras más ágiles que las grandes corporaciones, lo que les permite adaptar rápidamente sus programas de GRC a cambios normativos o nuevas exigencias del mercado. En ICR creemos que este tipo de agilidad es un activo estratégico que, bien aprovechado, puede posicionar a estas organizaciones como líderes responsables en su sector.

 

Construcción de una cultura de integridad sostenible

El éxito de un programa de GRC no se mide únicamente por su diseño, sino por su impacto real en la conducta diaria de los empleados. En ICR consideramos que es fundamental que los colaboradores no solo conozcan las políticas de la empresa, sino que las integren en su comportamiento cotidiano. Crear una cultura de integridad requiere tiempo, esfuerzo y compromiso por parte de todos los niveles de la organización, desde la alta dirección hasta los empleados operativos.

Un programa de GRC bien diseñado debe incluir mecanismos que permitan medir y mejorar continuamente su efectividad. La utilización de herramientas de evaluación internas, combinadas con auditorías independientes o encuestas a empleados, ofrece una visión clara sobre el nivel de compromiso de la organización con sus objetivos éticos y normativos. En este sentido, las PYMES deben ver el proceso de evaluación continua como una oportunidad para ajustar y optimizar sus programas, asegurando que estos se mantengan relevantes y efectivos a lo largo del tiempo.


Un programa de GRC de alta calidad no se trata simplemente de cumplir con una lista de requisitos, sino de cultivar una verdadera cultura de integridad y confianza dentro de la organización


Conclusión

En ICR estamos convencidos de que cualquier empresa, sin importar su tamaño, puede desarrollar un programa de GRC robusto si se enfoca en utilizar sus recursos estratégicamente y adoptar un enfoque proactivo hacia la ética y el cumplimiento. Las organizaciones medianas, en particular, tienen la capacidad de superar sus limitaciones operativas mediante la implementación de políticas claras, la adopción de herramientas accesibles y la creación de un entorno de trabajo ético y transparente.

La construcción de una cultura de integridad no es un proceso inmediato, pero cada esfuerzo cuenta. En ICR trabajamos junto a nuestros clientes para asegurarnos de que no solo cumplan con los requisitos normativos, sino que también se conviertan en referentes de responsabilidad y confianza en su sector. El cumplimiento normativo debe ir más allá de la obligación; es una oportunidad para crecer, mejorar y generar un impacto positivo que perdure en el tiempo.


Proudly powered by WordPress

Cómo construir un buen proceso de evaluación de riesgos

Cómo construir un buen proceso de evaluación de riesgos

Construir un buen proceso de evaluación de riesgos es una de las tareas más importantes que realiza un responsable de cumplimiento, y también una de las más confusas. ¿Cómo seguir evaluando los riesgos de su organización de manera disciplinada y metódica, cuando la gama y la naturaleza de esos riesgos cambian tan a menudo?

Afortunadamente, hace poco recibimos un gran consejo al respecto, cortesía del Contralor de la Moneda, uno de los principales reguladores bancarios de Estados Unidos. La OCC (principal regulador estadounidense para los bancos minoristas), sancionó recientemente a un banco por fallos sistémicos en la gestión de riesgos. El banco concreto en cuestión no es importante para nosotros hoy aquí, pero la orden de sanción de la OCC incluía una larga explicación de lo que quiere ver para una metodología de riesgo eficaz. Es un consejo que los responsables de cumplimiento de cualquier lugar pueden poner en práctica en su propia organización.

Empezar por conocer la empresa

En primer lugar, la orden de la OCC subrayaba que la evaluación de riesgos debía valorar todos los riesgos que tiene la empresa. El evento de la agencia incluyó una lista de dónde podrían residir esos riesgos:

  • Productos y servicios ofrecidos;
  • Tipos de clientes y entidades atendidas;
  • Tipos de transacciones;
  • Países o ubicaciones geográficas de clientes y transacciones;
  • Métodos que utiliza la organización para interactuar con sus clientes.

En el caso de la OCC, esa lista se aplica a la banca. Ahora imaginemos cómo funcionan esas viñetas si se tratara de evaluar el riesgo de la FCPA. Se haría preguntas como

  • ¿Ofrecemos productos o servicios a gobiernos extranjeros?
  • ¿Sabemos cuáles de nuestros clientes son empresas estatales?
  • ¿Cuáles de nuestras transacciones conllevan un alto riesgo de corrupción?
  • ¿En qué lugares del mundo hacemos negocios en los que podríamos encontrar altos niveles de corrupción?
  • ¿Cómo interactuamos con nuestros clientes? ¿A través de intermediarios u oficinas de ventas sobre el terreno, o mediante interacciones en línea aquí en casa?

Me gusta este enfoque porque hace hincapié en un punto sutil pero importante: el éxito de las evaluaciones de riesgos depende de que el responsable de cumplimiento conozca la empresa.

Es decir, hay que entender cómo gana dinero la empresa, quiénes son sus clientes y cómo interactúa con ellos. Hay que elaborar un mapa –en sentido figurado, en la cabeza, o incluso literalmente en una pizarra– de cómo funciona la empresa. Entonces podrá empezar a relacionar esas operaciones con el riesgo. 

Esto es así tanto si se trata del cumplimiento de la normativa contra el blanqueo de capitales (lo que preocupa a la OCC), del riesgo de la FCPA (lo que abordan mis preguntas anteriores) o de cualquier otro riesgo de cumplimiento, en realidad. En primer lugar y siempre, el responsable de cumplimiento debe comprender cómo funciona la empresa. Entonces podrá empezar a recopilar datos sobre el riesgo que sean más útiles e informativos, porque sabrá dónde mirar y qué preguntas hacer.

Sume los datos para comprender el riesgo

La OCC dijo que la evaluación de riesgos de un banco también debe examinar (1) los volúmenes y tipos de transacciones y servicios por país o ubicación geográfica; y (2) el número de clientes que suelen plantear un mayor riesgo, tanto por tipo de riesgo como por ubicación geográfica. 

Este consejo también es útil; ayuda a los responsables de cumplimiento a comprender los datos que tendrá que recopilar y estudiar para evaluar los riesgos que tiene. 

Por ejemplo, es posible que desee examinar el volumen de transacciones que se califican como de alto riesgo en el marco de la FCPA, clasificadas por país; o el número de terceros que plantean un mayor riesgo de trabajo justo, ya sea por tipo (trata de seres humanos, retención de salarios, etc.) y por ubicación. Los riesgos son diferentes de los que afronta un banco, pero las características de su análisis de riesgos son esencialmente las mismas.

La orden de la OCC también habla de agregar riesgos para poder evaluarlos a nivel de empresa. 

Por ejemplo, un responsable de cumplimiento de un banco debería evaluar los riesgos individualmente dentro de las líneas de negocio del banco, y de forma consolidada en todas las actividades y líneas de productos del banco. Pues bien, otros responsables de cumplimiento podrían hacer lo mismo para la FCPA u otros tipos de riesgos de cumplimiento: examinar cada riesgo dentro de las principales unidades operativas de su empresa, y cada riesgo para su empresa en su conjunto.

Desarrollar un proceso sostenible de evaluación de riesgos

Recapitulemos lo que hemos visto hasta ahora. Una evaluación de riesgos satisfactoria debe basarse en que el responsable de cumplimiento (1) conozca la empresa, de modo que pueda identificar dónde reside el riesgo de cumplimiento; y (2) sume todos los datos pertinentes, de modo que pueda estudiar los riesgos de cumplimiento en partes específicas de la empresa o para la organización en su conjunto.

De acuerdo, pero seguimos con nuestra pregunta original: ¿Cómo pueden los responsables de cumplimiento desarrollar un proceso sostenible de evaluación de riesgos que proporcione análisis sólidos una y otra vez?

Las respuestas son sencillas. Para conocer la empresa, el responsable de cumplimiento debe participar en ella: reunirse periódicamente con los jefes de las unidades de negocio, formar parte de los comités internos de riesgos, participar en las reuniones de la dirección ejecutiva, etcétera. Para recopilar y analizar los datos pertinentes, el responsable de cumplimiento necesita herramientas y procesos de GRC eficaces: recopilar datos mediante flujos de trabajo automáticos y, a continuación, ejecutarlos a través de protocolos de elaboración de informes sofisticados (pero versátiles).

En otras palabras, las evaluaciones de riesgos eficaces son realmente una parte de habilidades humanas y una parte de habilidades tecnológicas. El acuerdo de la OCC ofrece un gran consejo; nos permite escuchar las ideas de un regulador sobre lo que debe ser capaz de hacer un buen proceso de evaluación de riesgos. Luego viene el duro trabajo de los responsables de cumplimiento de poner las condiciones adecuadas en su organización para que pueda construir ese buen proceso de evaluación de riesgos.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/how-to-build-a-good-risk-assessment-process/ (Traducido por ICR).

Inteligencia artificial: lo bueno, lo malo… el futuro

Inteligencia artificial: lo bueno, lo malo… el futuro

El auge de la inteligencia artificial, en concreto, de la IA generativa, que puede crear imágenes, sonidos y textos totalmente nuevos con unas pocas instrucciones,  ha sido el avance tecnológico más importante de esta década.

El reto para 2024 (y los años venideros) será cómo dar a la IA un uso rentable, provechoso y ético en la empresa. La función de cumplimiento debe anticiparse a todo lo que implicará ese reto.

Por ejemplo, los propios equipos de cumplimiento podrían utilizar la IA para agilizar o reforzar la función de cumplimiento. Otras partes de su empresa podrían encontrar formas de hacer un buen uso de la IA en sus propias operaciones, o podrían avanzar imprudentemente, causando todo tipo de riesgos de cumplimiento y ciberseguridad.

Por lo tanto, incluso cuando los responsables de cumplimiento empiecen a utilizar la IA dentro de su propia función, tendrán que actuar como asesores de confianza de la alta dirección y del resto de la empresa, para que esas otras partes del negocio puedan utilizar la IA de forma prudente, legal y consciente de los riesgos.

Comprender tanto lo positivo como lo negativo

Recuerde lo que hemos dicho antes: la tecnología que hay detrás de la IA generativa es enormemente potente. Las empresas tendrán que canalizar esa enorme potencia de la forma adecuada, o se arriesgarán a caer en el desastre.

Lo positivo es que la tecnología que hay detrás de ChatGPT y sus hermanos de IA generativa es enormemente potente. La IA generativa utiliza primero el procesamiento del lenguaje natural (PLN) para que los usuarios humanos envíen consultas a la IA en el mismo lenguaje sencillo que utilizamos entre nosotros. A continuación, basándose en una gran cantidad de datos que ya ha estudiado, la IA calcula la cadena de palabras, números o píxeles que tiene más probabilidades de ser una buena respuesta a la pregunta del usuario.

Los casos de uso son convincentes. En esencia, una empresa podría superponer una interfaz de PNL a sus propios datos, de modo que los empleados pudieran hacer preguntas como: ¿Qué clientes son los que más gastan? ¿Qué solicitantes de empleo tienen las aptitudes más adecuadas a nuestras necesidades? ¿Qué revendedores piden permiso para ofrecer descuentos más a menudo? Y muchas más. La inteligencia artificial daría de inmediato respuestas claras y directas.

El aspecto negativo, sin embargo, es que sin unas sólidas barreras de seguridad, la IA podría no ofrecer siempre respuestas precisas. O podría consumir la información que le proporcionas –incluida información confidencial– para aprender a responder a las preguntas del siguiente usuario. Podría interactuar con empleados y clientes de forma inesperada. Podría aprender de un conjunto de datos defectuosos, adquiriendo malos hábitos intelectuales y dando malas respuestas, como haría cualquier ser humano.

Recuerde lo que hemos dicho antes: la tecnología que hay detrás de la IA generativa es enormemente potente. Las empresas tendrán que canalizar ese enorme poder de la forma adecuada o se arriesgarán a caer en el desastre.

Los guardarraíles comienzan con la gobernanza

A medida que nos adentramos en 2024, el reto inmediato para las organizaciones será establecer una estructura de gobernanza para toda la empresa sobre cómo su negocio adopta la IA. Es decir, algún grupo directivo de la empresa –llamémoslo comité de dirección– debe articular las directrices básicas para que la empresa adopte la IA de forma sensata y orientada al cumplimiento. A continuación, otros empleados más abajo en el organigrama pueden desarrollar los casos específicos de uso de la IA que tengan más sentido para su empresa.

Ese comité directivo debería incluir al menos al CISO, al director de cumplimiento normativo, al responsable de tecnología, al director financiero y al asesor jurídico. Otros candidatos plausibles (en función de su modelo y objetivos empresariales) podrían ser los responsables de RRHH, marketing y otros.

Estos comités de dirección podrían ser un lugar para que el director de cumplimiento brille. Al fin y al cabo, la mayoría de los miembros del comité de dirección serán expertos en prever casos de uso, pero no en comprender todos los riesgos que conllevan. Usted, el CCO, debe ser el consigliere que guíe al comité mientras traza su estrategia de adopción de la IA.

Por ejemplo, ya hay algunos casos de gobiernos que regulan el uso de la IA. En la ciudad de Nueva York, los empleadores que quieran utilizar la IA para descartar candidatos a un puesto de trabajo (incluyendo algo tan simple como búsquedas automatizadas de palabras clave) deben realizar una «auditoría de sesgos» en la IA y publicar los resultados en línea. Si esta norma se aplica a su empresa, ¿la conoce el equipo de RRHH? ¿Quién trabaja para garantizar que la auditoría de sesgos se lleva a cabo con prontitud y correctamente?

Este es el tipo de cuestiones que puede explorar un comité directivo de la IA, y los responsables de cumplimiento pueden desempeñar un valioso papel como puente entre el mundo normativo y el mundo empresarial. 2024 será un año en el que los responsables de cumplimiento podrán ayudar a la empresa a adoptar la IA de forma ética, legal y sostenible.

Un modelo para la IA en la función de cumplimiento

Los responsables de cumplimiento también pueden dedicar 2024 a averiguar cómo integrar la IA en sus propias operaciones. Aquí hay mucho potencial.

Antes hemos mencionado que la IA aprende consumiendo grandes cantidades de datos. Pues bien, las empresas tienen datos a montones. Por lo tanto, podría desarrollar una herramienta de IA generativa que sólo estudie sus propios datos sobre transacciones, terceros, comunicaciones internas de los empleados y mucho más. A continuación, podría empezar a hacer preguntas a la IA sobre los riesgos de cumplimiento en frases sencillas y directas. Obtendrías respuestas sencillas y directas a cambio.

Por supuesto, esto supone que su empresa tiene buenas prácticas de gestión de datos, y que el equipo de cumplimiento tiene acceso a todos los datos. Esto presenta otro objetivo que los responsables de cumplimiento podrían fijarse en 2024: trabajar estrechamente con otras partes de la empresa para crear prácticas sólidas de gestión de datos, y asegurarse de tener acceso y gestionar todos los datos para que la adopción de la IA pueda aportar el máximo valor.

¿Y la regulación de la Inteligencia Artificial?

La regulación de la IA está aún en pañales. Hemos visto algunos primeros intentos, como la mencionada ley de la ciudad de Nueva York, pero tanto en Estados Unidos como en Europa las normativas específicas siguen siendo escasas.

Es posible que veamos más movimiento en ese frente en 2024. La Unión Europea, por ejemplo, propuso la Ley de Inteligencia Artificial de la UE en 2023, que (entre otras cosas) exigiría que toda la IA generativa se sometiera a una revisión externa antes de su lanzamiento comercial; pero esa legislación aún tiene largas negociaciones por delante antes de entrar en vigor. La Administración Biden también propuso varios «pilares» de buen uso de la IA, pero son vagos y voluntarios.

Por otra parte, los responsables de cumplimiento no necesitan normativas específicas sobre IA para mantenerse ocupados. La IA ya está aquí, filtrándose en las operaciones comerciales de toda la empresa. 2024 será un año para que los responsables de cumplimiento se comprometan con la alta dirección sobre cómo adoptar la inteligencia artificial, y para que usted perfeccione sus propias capacidades tecnológicas de GRC para sacar el máximo provecho de la IA.

Predicción 2024

A medida que la tecnología de la IA siga desarrollándose y ganando adeptos en todo el mundo, también lo harán las normativas propuestas para regular su uso. Podemos esperar que estas normativas varíen dependiendo de los casos de uso, las geografías y la función específica de la propia inteligencia artificial.

Es probable que la inteligencia artificial galvanice a los líderes, que deben estar de acuerdo en cómo se utiliza en la empresa y cómo se aplican las políticas. Podemos esperar que cada vez más líderes de cumplimiento y ciberseguridad den un paso al frente y defiendan la gobernanza y la seguridad adecuadas a medida que la IA se convierta en una tecnología básica para mejorar la eficiencia y la precisión en las organizaciones.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/artificial-intelligence-the-good-the-bad-the-future/ (Traducido por ICR).

La IA beneficia su programa de cumplimiento normativo

Últimas noticias sobre GRC – La IA beneficia su programa de cumplimiento normativo

La inteligencia artificial (IA) es una tecnología transformadora que ha cautivado a industrias de todo el mundo y ha llegado para quedarse. Definida como un sistema diseñado para funcionar con un cierto nivel de autonomía, la IA beneficia su programa de cumplimiento normativo y utiliza el aprendizaje automático y enfoques basados en la lógica para alcanzar objetivos definidos por el ser humano. A diferencia de la informática tradicional, que sigue instrucciones de programación explícitas, la IA infiere nuevos datos y se adapta a ellos, produciendo resultados como contenidos, predicciones, recomendaciones o decisiones que influyen en su entorno.

Una de las diferencias fundamentales entre la IA y la informática tradicional reside en la capacidad de la IA para inferir a partir de datos en lugar de seguir un código predeterminado. La informática tradicional funciona con un conjunto rígido de instrucciones, mientras que los sistemas de IA se entrenan con grandes cantidades de datos, lo que les permite adaptarse, aprender y mejorar con el tiempo. Esta capacidad de inferencia hace que la IA sea poderosa, pero también introduce una capa de complejidad e imprevisibilidad.

Algunas consideraciones sobre la IA y los riesgos para terceros

Sin embargo, esta complejidad conlleva riesgos específicos, sobre todo en lo que respecta a las vulnerabilidades de terceros y de la cadena de suministro. Los sistemas de IA a menudo se basan en grandes conjuntos de datos que pueden extraerse de la web, limpiarse y procesarse manualmente. Este proceso requiere mucha mano de obra y conlleva importantes costes humanos y medioambientales. La producción de modelos de IA consume mucha energía y recursos, y utiliza minerales como el cobalto y el níquel. Además, las cadenas de suministro que crean estos modelos suelen ser opacas, lo que suscita preocupación por las prácticas medioambientales, legales y laborales. Esta capacidad de inferencia hace que la IA sea potente, pero también introduce una capa de complejidad e imprevisibilidad.

Una vez desarrollado un modelo de IA, puede venderse a un proveedor o distribuidor, que lo integrará en diversos productos de software. Esta integración puede introducir sesgos y entradas y salidas inseguras. Por ejemplo, los datos sensibles desde el punto de vista comercial o la información personal introducida en el sistema podrían utilizarse sin derechos claros, lo que podría dar lugar a violaciones de la privacidad de los datos y de la propiedad intelectual. La necesidad de una mayor transparencia en la forma en que se utilizan y transfieren los datos a través de las diferentes capas de la cadena de suministro agrava estos riesgos.

Además, la IA afecta significativamente a los informes ESG (medioambientales, sociales y de gobernanza). Los sistemas de IA utilizados para informar sobre la huella social y de carbono pueden basarse en productos procedentes de cadenas de suministro opacas, lo que complica la exactitud y fiabilidad de estos informes. Comprender y gestionar estos riesgos es crucial para que las organizaciones garanticen el cumplimiento y mantengan la confianza.

Gestionar los riesgos de la IA para cumplir la normativa

La gestión de los riesgos en el cumplimiento de la normativa implica varios pasos. Las organizaciones deben identificar y comprender sus sistemas de IA, incluidas las actualizaciones de software recientes. Esta comprensión se extiende a los datos que manejan estos sistemas y a las medidas de seguridad para protegerlos. Es esencial aplicar prácticas estándar de gestión de riesgos y asegurarse de que el consejo de administración esté consciente de estas prácticas. Además, contar con una política clara en materia de IA, ya sea independiente o integrada en las políticas de TI y de protección de datos, ayuda a los empleados a comprender y mitigar los riesgos. La transparencia en la cadena de suministro y la concienciación entre el equipo de protección de datos son también componentes críticos de una gestión eficaz del riesgo.

La IA se ha convertido en un nuevo pilar de la gobernanza, el riesgo y el cumplimiento (GRC), lo que introduce complejidades, especialmente en las cadenas de suministro. La próxima Ley de IA en la Unión Europea tiene como objetivo proporcionar un marco normativo para ayudar a las organizaciones a navegar por estos requisitos intrincados y fluidos. Esta ley y otras normativas como las leyes de derechos de autor, las directivas de ciberseguridad y las directivas de sostenibilidad social corporativa conforman el panorama normativo en Europa.

Además, la IA puede desempeñar un papel fundamental en la mejora del cumplimiento de la normativa. Puede ayudar en la gestión de riesgos de terceros, la elaboración de informes para los consejos de administración, el mapeo de sistemas y la identificación de amenazas a la ciberseguridad. Al aprovechar la IA, las organizaciones pueden agilizar estos procesos, garantizando evaluaciones de riesgos más precisas y oportunas. Comprender y gestionar los riesgos de las asociaciones externas es crucial a medida que las tecnologías de IA se integran más en las operaciones empresariales. Esto implica ganar visibilidad en la cadena de suministro, respetar los derechos laborales y mantener canales de comunicación claros.

La Ley de Inteligencia Artificial de la UE representa un paso importante en la creación de un marco normativo completo para la inteligencia artificial. Esta legislación funciona principalmente como una normativa de seguridad de los productos para la IA, centrándose en la gestión de los riesgos operativos y de aplicación, al tiempo que promueve la innovación.

A diferencia de estar centrada en los derechos fundamentales, la ley clasifica los sistemas de IA desde la perspectiva del usuario final en diferentes niveles de riesgo, determinando los requisitos en función del riesgo asociado. Este enfoque por niveles ayuda a equilibrar la seguridad y la innovación, garantizando la protección tanto de los consumidores como de las empresas.

Además de su objetivo principal, la ley complementa la normativa existente para formar un marco equilibrado que salvaguarde a consumidores y empresas. También permite a los usuarios de productos de IA verificar su cumplimiento de las normas éticas, reforzando aún más la confianza y fiabilidad en las tecnologías de IA.

En general, la IA ofrece un inmenso potencial, pero plantea riesgos únicos, sobre todo en el caso de las cadenas de suministro, las terceras partes y la gestión de datos. Mediante la comprensión de estos riesgos y la aplicación de sólidas estrategias de cumplimiento normativo, las organizaciones pueden aprovechar el poder de la IA y, al mismo tiempo, protegerse de los posibles obstáculos.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/grc-latest-news-ai-benefits-your-compliance-program/ (Traducido por ICR).

La IA se regula: Una mirada a la innovadora Ley de Inteligencia Artificial de la UE

La IA se regula: Una mirada a la innovadora Ley de Inteligencia Artificial de la UE

La IA está transformando el mundo que nos rodea y, con su extraordinario potencial, surgen muchas preguntas sobre la seguridad, la equidad y su impacto en nuestras vidas. La nueva Ley de Inteligencia Artificial de la UE, supervisada por la nueva Oficina Europea de Inteligencia Artificial, aborda estas cuestiones de frente y ofrece un marco pionero para el desarrollo y uso responsable de la IA.

Imagínese esto: un sistema de inteligencia artificial que puede predecir su estado de ánimo mejor que usted, o un coche que siempre le lleva por la ruta más pintoresca… lo quiera usted o no.

¿Qué es la Ley Europea de Inteligencia Artificial y en qué consiste?

La Ley de IA pretende equilibrar la innovación con la salvaguardia de los derechos de los usuarios, clasificando los sistemas de IA en cuatro niveles en función del nivel de riesgo potencial que plantean.

Los niveles de la Ley de IA de la UE son:  

  • Riesgo inaceptable: Aplicaciones de IA prohibidas que amenazan los derechos de los ciudadanos. Entre ellas se incluyen los sistemas que categorizan a las personas en función de rasgos sensibles como la raza o los rasgos faciales, la tecnología de reconocimiento facial no selectiva, el reconocimiento de emociones en lugares de trabajo y escuelas, la puntuación social de uso general, la vigilancia policial predictiva y la IA diseñada para explotar vulnerabilidades o manipular el comportamiento humano. Esencialmente, la tecnología del Gran Hermano no se verá afectada por esta legislación.
  • Alto riesgo: La IA se utiliza en áreas críticas como las infraestructuras, la educación, la seguridad, la aplicación de la ley y otras. Pensemos en la IA médica que diagnostica enfermedades, la IA que optimiza las redes eléctricas o incluso la IA que juzga en los tribunales. Estos sistemas de alto riesgo podrían ser increíblemente beneficiosos para la sociedad, pero también necesitan barandillas y un manejo meticuloso para limitar el potencial de daños por mal funcionamiento o uso indebido.
  • Riesgo limitado: Tecnologías de IA generalmente de bajo riesgo, siendo la transparencia un requisito clave para su uso. La Ley de IA insiste en que sepas cuándo estás interactuando con IA, así que no confundas a tu nuevo amigo bot con un amigo de verdad (todavía).
  • Riesgo mínimo: La IA de los videojuegos o los filtros de spam entran en esta categoría. No es necesario llamar a los reguladores.

Pero eso no es todo. Además de estos requisitos específicos para la IA de alto riesgo, la Ley de IA también contempla requisitos que afectan tanto a las obligaciones de IA de alto riesgo como a otras categorías que conllevan riesgo:

  • Explicabilidad: Evita las decisiones de «caja negra» y elimina los sesgos en la lógica y los procesos de la IA.
  • Cajas de arena reguladoras: Permiten a las empresas, sobre todo PYME y startups, probar y desarrollar IA innovadora
  • Auditoría de contenidos de formación: Las tecnologías de IA de propósito general (GPAI) deben cumplir requisitos de transparencia y proporcionar registros y resúmenes de los recursos y contenidos utilizados para su formación. Algunos tipos de GPAI estarán sujetos a otros requisitos y evaluaciones, como la notificación de incidentes y las evaluaciones de riesgos.

Consecuencias del incumplimiento de la Ley de AI de la UE

La Ley de Inteligencia Artificial de la UE se toma en serio las infracciones y las multas son lo suficientemente elevadas como para que incluso los gigantes tecnológicos revisen su código.

  • Nivel 1: Uso de sistemas de IA prohibidos – Las multas más severas (hasta 35.000.000 euros o el 7% de la facturación global anual) se aplican al uso de sistemas de IA considerados de riesgo inaceptable.
  • Nivel 2: Incumplimiento de las obligaciones en materia de IA de alto riesgo – No cumplir los requisitos de la Ley para los sistemas de IA de alto riesgo podría acarrear multas de hasta 15.000.000 de euros.
  • Nivel 3: Engañar a las autoridades reguladoras – Facilitar información incorrecta, incompleta o engañosa a las autoridades acarrea multas de hasta 7.500.000 euros o el 1% de la facturación global anual.

Dicho esto, la Ley de AI reconoce los retos a los que se enfrentan las empresas más pequeñas. Permite reducir las multas para las PYME y las empresas de nueva creación en función de la gravedad de la infracción y de otros factores. En general, cada Estado miembro determinará cómo aplicar estas disposiciones en su ordenamiento jurídico.

¿Quién es responsable?

La Ley de IA responsabiliza a múltiples partes de garantizar un uso ético de la IA. Esto incluye a proveedores, implantadores, importadores, distribuidores y organismos notificados (responsables de las evaluaciones). Incluso los proveedores de modelos GPAI pueden ser considerados responsables si sus modelos se incorporan posteriormente a sistemas perjudiciales.

Situación y calendario de la Ley de IA de la UE: plazos de transposición y adopción

La Ley de AI de la UE está siendo objeto de los últimos preparativos antes de su adopción oficial, y se espera que esté terminada antes de que finalice la actual sesión legislativa.

Una vez publicada en el Diario Oficial de la Unión Europea, la Ley se convertirá oficialmente en ley 20 días después. No obstante, las distintas disposiciones entrarán en vigor de forma escalonada.

La mayoría de las disposiciones de la ley, incluidas las que regulan la IA de alto riesgo, serán plenamente aplicables 24 meses después de su entrada en vigor. Hay algunas excepciones a este plazo:

  • Prácticas de IA prohibidas: Las prohibiciones de sistemas de IA inaceptables entrarán en vigor antes, sólo seis meses después de la fecha de entrada en vigor.
  • Códigos de buenas prácticas: Las directrices de cumplimiento voluntario serán aplicables nueve meses después de la fecha de entrada en vigor.
  • IA de propósito general: Las normas específicas para modelos de IA a gran escala, incluidos los requisitos de gobernanza, se aplicarán 12 meses después de la fecha de entrada en vigor.

Es importante tener en cuenta que las fechas exactas dependen de cuándo la legislación complete la fase final de revisión y publicación, y que esta ley está diseñada para adaptarse a un campo que cambia día a día.

Por qué la Ley de Inteligencia Artificial tiene repercusiones mundiales y qué viene después

La Ley de la IA refleja la creciente concienciación mundial sobre la necesidad de equilibrar las extraordinarias posibilidades de la IA con consideraciones éticas. Responde a preocupaciones del mundo real y puede influir en el desarrollo responsable de la IA mucho más allá de Europa.

He aquí por qué esta legislación sienta un precedente crucial:

  • Fomento de la confianza: Al definir claramente las expectativas de una IA segura y justa, la Ley aumenta la confianza del público en los sistemas de IA. Esto asegura a la gente que existen salvaguardias para proteger sus derechos y experiencias.
  • Protección de los derechos: crea salvaguardias contra la discriminación alimentada por la IA, la actuación policial predictiva sesgada y garantiza que la IA no se convierta en una herramienta para suprimir las libertades individuales.
  • La Ley fomenta el desarrollo de una IA segura y ética, promoviendo un sector tecnológico próspero y responsable.

La Ley de IA de la UE es un gran paso para garantizar que la IA beneficie a la sociedad al tiempo que salvaguarda los derechos fundamentales. Sin embargo, la tecnología y la normativa de la IA evolucionan rápidamente. Debido a su gran alcance, podríamos asistir a una reacción en cadena de la normativa, ya que otros países siguen el ejemplo de la UE y se apresuran a redactar sus propios reglamentos sobre IA.
Podemos esperar revisiones y nuevas normativas para abordar las complejidades que sin duda surgirán a medida que los seres humanos y la IA sigan coexistiendo. Esperemos que, con una legislación proactiva como la Ley de IA de la UE, algún día no necesitemos ese metafórico interruptor de apagado para todo Internet. Esté atento.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/ai-gets-rules-a-look-at-the-groundbreaking-eu-ai-act/ (Traducido por ICR).

Perspectiva de un CCO sobre la inteligencia artificial

Perspectiva de un CCO sobre la inteligencia artificial

Seguro que está viendo muchas historias y opiniones sobre la perspectiva de un CCO sobre la Inteligencia Artificial tan relevante. Muchas de las historias que ha leído incluyen tanto lo bueno (optimización de las operaciones empresariales, incorporación de análisis predictivos, etc.) como lo malo (grandes «alucinaciones» de los modelos de lenguaje (LLM), problemas de plagio, desinformación, parcialidad, etc.). Entre el futuro panorama normativo de la IA y las poderosas formas en que la IA puede mejorar las operaciones empresariales, seguirá siendo un tema de conversación para los líderes empresariales, y los profesionales de cumplimiento deben estar en el centro de esas discusiones.

La mayoría de los responsables de riesgos y cumplimiento son conscientes del potencial de la IA para mejorar el negocio, pero las grandes capacidades tecnológicas van acompañadas de la necesidad de una gobernanza adecuada. De hecho, el tema de cómo utilizar éticamente la IA en el lugar de trabajo es tan importante.

No existe un planteamiento único para muchas cosas en la empresa, y lo mismo puede decirse de la IA. Así pues, ¿Cómo deben abordar las organizaciones el camino hacia una IA ética en función de sus casos de uso, necesidades empresariales, etc.?

Lo primero que hay que hacer desde la perspectiva del cumplimiento es realizar una evaluación de riesgos. Empezamos preguntando si la IA se utiliza actualmente en la empresa y, en caso afirmativo, cómo.

¿Existe documentación al respecto? ¿Existen normas actuales sobre su uso?

A continuación, preguntamos si hay proyectos de IA previstos. Preguntamos si existe documentación o normas/políticas aplicables.

Por último, evaluamos lo que hay que hacer para garantizar que el uso de la IA cumple o cumplirá  la ley,  los valores de la empresa y las prácticas empresariales éticas.

En lo que respecta a la IA, la legislación cambia constantemente. La propuesta de Ley de Inteligencia Artificial de la UE creará obligaciones normativas. En EE.UU. se han celebrado recientemente audiencias en el Congreso sobre el tema y se está estudiando cómo implantar una normativa eficaz. Cumplimiento debe prestar mucha atención a estas nuevas leyes para que pueda asesorar adecuadamente sobre las actividades previstas. El GDPR de la UE ya se aplica a algunas actividades relacionadas con la IA, como la revisión automática de currículums para encontrar a los mejores candidatos; queda mucho por hacer.

La conclusión es que es fundamental para el cumplimiento conocer las actividades empresariales previstas para poder responder rápida y adecuadamente. Que una actividad sea legal no significa que se ajuste a los valores de la empresa o a sus prácticas empresariales éticas. Las actividades de IA también deben revisarse con arreglo a esos criterios.

¿Cómo pueden las empresas establecer eficazmente unos límites para su programa de IA que equilibren el entusiasmo por las posibilidades de la IA con un uso responsable de la tecnología?

Cualquier barrera que se ponga en torno a la IA debe hacer referencia a las tres cuestiones mencionadas anteriormente: el cumplimiento de la ley,  los valores de la empresa y las prácticas empresariales éticas.

Las barreras nunca deben ser demasiado prescriptivas porque las prácticas y actividades empresariales en este ámbito cambian constantemente. Hay que formar a las personas que intentan utilizar la IA para que tengan en cuenta estos tres puntos centrales, y deben redactarse en un documento de política o nota consultiva que esté disponible públicamente en un sitio de la intranet u otro repositorio.

¿Tienen las organizaciones la obligación ética de ayudar a sus empleados a comprender las repercusiones previstas de la IA en la organización? En caso afirmativo, ¿Cuál es la mejor manera de enfocar esta comunicación/conversación?

Absolutamente – cualquier organización que utilice o considere utilizar IA tiene la obligación ética de ayudar a los empleados a comprender los impactos previstos de la IA en la organización. También tienen la obligación de formar a los empleados sobre los riesgos del uso de la IA y las señales de alarma a las que deben prestar atención en función de las actividades empresariales que se estén llevando a cabo o que se estén considerando. La formación puede realizarse en persona, a través de eLearning o mediante seminarios web. La comunicación puede hacerse de múltiples maneras. Lo importante es el refuerzo. La gente aprende a través del refuerzo de las ideas clave, y es fundamental que la empresa se asegure de que todo el mundo entiende sus obligaciones éticas con respecto al uso de la IA.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/a-cco-perspective-on-artificial-intelligence/ (Traducido por ICR).

Los investigadores y los responsables de cumplimiento deben comprender la criptomoneda

Los investigadores y los responsables de cumplimiento deben comprender la criptomoneda

Para ser investigador o responsable de cumplimiento normativo, a menudo es necesario conocer y comprender la criptomoneda, igual que los nuevos productos y tecnologías, así como los fraudes que de ellos se derivan.  Puede que las monedas virtuales y la tecnología blockchain no sean nuevas, pero cada vez están más generalizadas y omnipresentes.  Al mismo tiempo, se está prestando una mayor atención reguladora y policial a los intercambios de criptomonedas, comerciantes, emisores, mezcladores y otras empresas implicadas en transacciones de criptomonedas. La primera introducción del público a las criptomonedas no fue necesariamente lo que sus inventores tenían en mente cuando los piratas informáticos y otras organizaciones criminales gravitaron hacia ellas como forma de asegurar el pago por la venta de contrabando en la web oscura o de recibir pagos por ransomware. 

La reciente implosión de FTX, las acciones de la Oficina de Control de Activos Extranjeros (OFAC) contra Tornado Cash, Garantex, el mercado de la darknet Hydra y la reciente imposición de una multa récord a Coinbase por parte del Departamento de Servicios Financieros del Estado de Nueva York (NYS DFS) sólo han servido para reforzar el estigma negativo que rodea a la criptomoneda. Pero al igual que los billetes, la criptomoneda no es ni buena ni mala. Es sólo un medio alternativo de intercambio de valor y está aquí para quedarse.  Por lo tanto, es muy importante que los profesionales de la investigación, el cumplimiento y el derecho conozcan sus fundamentos.

Tecnología Blockchain

La tecnología Blockchain es necesaria para que la moneda virtual exista y pueda intercambiarse. Actúa como un tipo de libro de contabilidad electrónico que lleva la cuenta de todas las transacciones que se realizan de igual a igual.  Blockchain permite que las transacciones se produzcan sin depender de un marco central de compensación como los necesarios en las transacciones monetarias convencionales. Blockchain puede utilizarse para transferir moneda virtual, liquidar operaciones y validar otros tipos de transacciones.

Criptomoneda

La criptodmoneda es una moneda virtual alternativa al billete como medio de cambio.  Se crea y almacena electrónicamente utilizando la tecnología blockchain.  El término «cripto» se deriva del hecho de que las monedas virtuales se crean utilizando tecnología criptográfica para autenticar las transacciones y algoritmos para establecer y controlar las unidades monetarias. Entre los tipos más populares de criptomonedas se encuentran Bitcoin, Ethereum y Tether.  Sólo existe en forma digital.

Cómo se utiliza la criptomoneda en las transacciones

Una transacción típica de criptomoneda funciona así.  Una persona solicita una transacción de moneda virtual. La solicitud se transmite a una red de ordenadores de igual a igual. A continuación, la red valida la transacción utilizando algoritmos conocidos identificables con la moneda objeto de la transacción. Este proceso de validación puede utilizarse para realizar y confirmar de forma segura otros tipos de transacciones, como contratos, registros comerciales o para validar los votos emitidos en unas elecciones. Una vez validada, la transacción pasa a ser verificada.  Una vez verificada, los detalles de la transacción se combinan con otros registros para crear un «bloque» de datos que se registra en el libro de contabilidad permanente e inalterable de la cadena de bloques.  Así se completa la transacción.

Otros usos potenciales de Blockchain

La tecnología Blockchain tiene usos y ventajas potenciales que van mucho más allá del intercambio de moneda virtual.  Promete ofrecer una forma más transparente de realizar transacciones y verificar a las partes de una operación. Permite un seguimiento más preciso, incluida la creación de un registro permanente e inalterable de la transacción. A largo plazo, se cree que la adopción generalizada de la tecnología blockchain reducirá los costes de las transacciones. Una de las formas en las que se está explorando blockchain es para mejorar los procesos empresariales entre empresas.  La capacidad de blockchain para utilizar algoritmos conocidos podría reducir los costes de gestión y verificación de la identificación a la hora de completar transacciones fiables.                                        

Una forma de ver la tecnología blockchain es pensar en ella como un tipo de software de mejora de procesos empresariales. Se trata de una tecnología colaborativa que puede mejorar los procesos empresariales que tienen lugar entre empresas y reducir significativamente el coste de completar transacciones fiables. Al reducir los costes de completar transacciones recurrentes que requieren validación, la tecnología puede producir mayores beneficios que algunas inversiones en tecnología interna más tradicionales. Otra forma en que blockchain podría impulsar la eficiencia y reducir los costes es si las instituciones financieras empiezan a utilizarla como medio para compensar transacciones y liquidar operaciones de corretaje.

Si bien los marcos legales y reglamentarios que rigen las criptomonedas aún están evolucionando, corresponde a los investigadores, responsables de cumplimiento y abogados en la práctica regulatoria y litigiosa mantenerse al tanto de las diversas formas en que las criptomonedas y la tecnología blockchain se están utilizando tanto en transacciones comerciales legítimas como en la forma en que los blanqueadores de dinero, defraudadores y ciberdelincuentes las están explotando en la promoción de sus actividades delictivas.

Fuente de la publicación: White Collar Forensic.

Recuperado de https://whitecollarforensic.com/investigators-and-compliance-officers-need-to-understand-cryptocurrency/ (Traducido por ICR).

4 características de una línea directa de denuncia de irregularidades exitosa (Parte 3)

4 características de una línea directa de denuncia de irregularidades exitosa

Hasta ahora, en esta serie de tres partes, hemos hablado de los distintos tipos de líneas directas de denuncia de irregularidades y de los componentes clave que integran una línea directa de denuncia de irregularidades. En la tercera parte, analizaremos las cuatro características de una línea directa de denuncia de irregularidades eficaz. 

Las cuatro características de las líneas directas de denuncia de irregularidades que tienen éxito

Es fundamental tratar los casos de denuncia de irregularidades con respeto y profesionalidad, ya que estos factores desempeñan un papel vital en el éxito general de las líneas directas de denuncia de irregularidades. Nunca se insistirá lo suficiente en esta importancia.

La Directiva de la UE sobre protección de los denunciantes de irregularidades establece los criterios básicos que deben cumplir todos los Estados miembros de la UE a la hora de establecer procedimientos y líneas directas para los denunciantes de irregularidades en las empresas. Estas líneas de denuncia deben incorporar una serie de características clave para mejorar su eficacia, fomentar la confianza de los empleados y proteger a los denunciantes contra represalias. Es crucial tratar los casos de los denunciantes con respeto y profesionalidad, ya que estos factores desempeñan un papel vital en el éxito general de las líneas directas de denuncia de irregularidades. No se puede exagerar esta importancia.

1) Seguro y anónimo

Los sistemas de líneas directas de denuncia de irregularidades contienen datos sensibles, personales y potencialmente delictivos. En todo el mundo, este tipo de datos está regulado de forma muy estricta, por lo que mantener la seguridad de los datos y la imposibilidad de rastrear las identidades debe ser una consideración prioritaria para cualquier sistema de líneas directas de denuncia de irregularidades. La seguridad debe impregnar la plataforma en la que se ejecuta, las soluciones de almacenamiento de datos, las aplicaciones de software, los derechos de acceso, el archivado y la eliminación, etc.

Asegúrese de que su proveedor de líneas directas de denuncia de irregularidades cuenta con las certificaciones de seguridad y la funcionalidad más elevadas en todo el sistema, de que realiza comprobaciones periódicas del sistema para detectar vulnerabilidades de seguridad, de que sigue de cerca y de forma continua el desarrollo de la seguridad y de que mantiene actualizado el software de su línea directa de denuncia de irregularidades. 

Las leyes de protección de datos tienen implicaciones muy reales para los sistemas de líneas directas de denuncia de irregularidades, ya que regulan cómo deben tratarse los datos penales y personales. Sin embargo, las normativas de protección de datos y de protección de los denunciantes varían de un país a otro, lo que complica el control del cumplimiento.

Cuando elija un servicio de línea directa de denuncia de irregularidades, asegúrese de que el cumplimiento de la normativa ya está integrado en el sistema para ayudarle a mantenerse al día de los cambios en la legislación. Como equipo de investigación, debe estar seguro de que su servicio de línea directa de denuncia de irregularidades le ayuda a procesar e investigar los casos sin infringir la ley. 

3) Fácil de usar

Si un denunciante está considerando la posibilidad de utilizar una línea directa de denuncia de irregularidades, generalmente quiere actuar en el mejor interés de la organización. Observan una presunta mala conducta y quieren hacer algo al respecto, pero es posible que no quieran verse implicados en lo que ocurra después.

A menudo, el denunciante es una persona que está muy cerca del lugar donde se está produciendo la conducta indebida, por lo que dar ese paso para hacer una denuncia suele estar cargado de preocupaciones, como se ha mencionado anteriormente. Por eso, su línea directa de denuncia de irregularidades debe hacer que dar el primer paso sea lo más sencillo posible; de lo contrario, corre el riesgo de no recibir los tan necesarios consejos que le permitan actuar a tiempo.

Una forma de hacerlo es asegurarse de que la línea de denuncia de irregularidades sea neutral desde el punto de vista del dispositivo, es decir, que las personas puedan utilizar un teléfono móvil u otro dispositivo para hacer una denuncia, eliminando la necesidad de encontrar un espacio privado en el lugar de trabajo. Y aunque la interfaz de la línea de denuncia debe ser intuitiva, los usuarios también deben recibir formación relacionada con el código de conducta.

4) Una parte integrada del trabajo de ética empresarial

Las líneas directas de denuncia de irregularidades funcionan mejor cuando se sitúan dentro de la labor ética de la organización. Aunque una línea de denuncia no es la única arma en la lucha anticorrupción, antifraude o antidiscriminación de una organización, no cabe duda de que es una herramienta preventiva eficaz y una parte integral y reforzada de los esfuerzos de cualquier organización por convertirse en una marca ética y transparente.

Esto demuestra a las partes interesadas de una organización que se toma en serio tanto la aplicación como el seguimiento de su código de conducta, demostrando esos valores y promoviendo una cultura de cumplimiento y la más alta ética empresarial. También da a los empleados la oportunidad de hacer su parte y rendir cuentas informando de buena fe de cualquier cosa que sospechen a través de una línea directa de denuncias de confianza.

Fuente de la publicación: NAVEX.

Recuperado de https://www.navex.com/en-us/blog/article/part-3-4-characteristics-of-a-successful-whistleblower-hotline/ (Traducido por ICR).