El uso de las tecnologías para compliance se extiende cada vez más. En el país, las multinacionales y el sector financiero son los primeros en alinearse a la tendencia.

 

Aunque en la Argentina el concepto todavía no esta demasiado extendido, a escala mundial ya es una realidad. ¿Qué es compliance? “la necesidad de cumplir con estándares, leyes y/o regulaciones que afectan la operación de una compañía. Surge de requerimientos gubernamentales o de la industria que le permiten a la compañía operar, ser más competitiva o expandirse”, define Javier Figueiredo, gerente del área de Seguridad de la información de Accenture para la Argentina y Chile. “A veces es visto como un ´mal necesario´ en lugar del verdadero propósito con el cual fue pensado”, reconoce Figueiredo.

 

Con la promulgación de Sarbanes Oxley (SOX), todas las compañías que cotizan en NYSE están obligadas a cumplir esta norma, que se replicó en el mundo, partiendo de las bolsas de Japón y Frankfurt. “Esto ha hecho que exista la movida y esté en la agenda del CEO, el CFO y el CIO. No es un tema sólo de procesos: está bien identificado en C-Level porque son los que responden a estas normas con su firma y sus estado contables”, explica Pablo Valles, Consultor en Soluciones de Negocios en GRC (Governance, Risk and Compliance) de SAP.

 

Además, de SOX, el surgimiento de otras regulaciones –HIPPA, Cobit, Basilea II, PCI o la comunicación “A” 4609 del BCRA, que establece los requisitos mínimos que las entidades financieras deben cumplir en las áreas de infraestructura, seguridad y almacenamiento-, impactan en las compañías, por lo que “el involucramiento” y responsabilidad de los niveles ejecutivos de las organizaciones es cada vez mayor: deben responder personalmente por la información de las auditorias”, continua Figuereido.

 

Cuestión de estrategia

“Surge una movida parecida a lo que sucedió con la ISO 9000, para poder comerciar con el mundo: auditorias, información segura y sin fugas. Las grandes lo están enfoncando primero, por tamaño y presupuesto”, opina Guillermo Pierazzoli, presidente de TAO IT. Así, no es solo tecnología, sino procedimientos.

 

“Las soluciones en el mercado para compliance permiten estandarizar los controles y requerimientos para reforzar su cumplimiento”, señala Figueriredo. “Y, por otro lado, el costo de mantener el alineamiento con estándares y leyes ha hecho que se trate como un ítem separado en los presupuestos”, agrega. Si se va a invertir en redefinición de procedimientos e infraestructura, no cuesta mas alinearse a las normas, porque en el futuro se van a pedir para hacer negocios. “El mayor costo que enfrentan las compañías al encarnar el compliance no está en el alineamiento inicial, sino en mantenerlo en el tiempo. Es aquí donde la tecnología viene a ayudar a través de la automatización de tareas y  los reporte y tableros de control para el monitoreo de los indicadores definidos. Esto reduce el tiempo y los recurso invertidos en la preparación del material para las auditorias”, concluye Figueiredo.

 

El rol de la tecnología es el de un habilitador y una herramienta que colabora y simplifica el cumplimiento de las normas. “Compliance es una batalla entre el usuario y la parte legal para cumplir. IT tiene que atender las necesidades de ambos, pero el negocio tiene que entender que no es responsable de que se cumpla, sino de un driver para hacerlo. IT mitiga el riesgo y cuida los costos; y el negocio define lo que se debe hacer y cómo tiene que estar preparado el sector”, detalla Walter F. D´Abrantes, SouthCone Consulting Manager de EMC.

 

Si bien el ERP es el sistema nervioso central en las empresas, no es suficiente en cuanto a las regulaciones. La suite Governance, Risk and Compliance (GRC) de SAP posee módulos de control de accesos, regulaciones financieras y económicas, compliance con normas de exportación e importación, seguridad y medio ambiente. “Antes existían algunas de las normas pero no estaban en la filosofía de GRC. No se veían como un programa de compliance de salud de la organización. Por eso, el requerimiento viene del CEO, que es el que responde frente a los resultados. El CIO es quien baja la estrategia a la realidad”, aclara Fernando Andrés, gerente de Negocios del área comercial en Nuevas Soluciones de SAP.

 

Guardar la Información

El almacenamiento y el manejo de los datos son dos de los factores de más peso ya que las normas son estrictas sobre cuanto tiempo deben guardarse los datos. “El primer desafío es hacer un inventario del asset de información que posee: la gente no tiene idea de los datos guardados, del ciclo de vida de información y de qué hay que hacer. Esto es fundamental para entender compliance, y a partir de ahí asignar el valor de la información”, ejemplifica D´Amrantes.

 

Aparece así el concepto de automatización de manejo de la gestión de la información y la importancia de que las compañías tengan las herramientas y políticas adecuadas. “Las empresas aceptan que los empleados reciban información personal, pero están trabajando en entender y clasificar los datos guardados y aplicar ahí las políticas”, alerta D´Abrantes. “Toda esta automatización es para cuando hay políticas internas y permite cumplir con las leyes, definiendo procedimientos con un Framework que permita ver lo que se está haciendo y reaccionar a tiempo. Compliance está atado a la gestión y análisis del riesgo”, agrega.

 

Centera, de EMC, permite guardar información a costos menores en high end y viene preparado para compliance: “El equipo no deja destruir la información y está avalado por regulaciones internacionales”, dice D´Ambrantes.

 

Dentro de este panorama, el manejo del ciclo de vida de la información ocupa un lugar destacado: tanto SOX como la circular BCRA marcan pautas de cuanto tiempo se debe resguardar. Los reportes de auditoria de seguridad deben almacenarse por diez años –antes eran tres- para quienes se rigen por SOX y los bancos argentinos deben almacenar la información oír cinco o siete años como mínimo. “Cunado hablamos de seguridad decimos confidencialidad, integridad y disponibilidad de la información”, especifica Ariel Beliera, ingeniero de Preventa para el Sur de Latinoamérica de Symantec. En ese sentido, La Enterprise Vault de Symantex es una plataforma de archivado inteligente que permite almacenar, administrar y buscar datos corporativos de sistemas de correo electrónico, entornos de servidores de archivos, plataformas de IM, sistemas de colaboración y administración de contenidos. “En gestión de la información, la preocupación de los CIOs es mantener los costos bajos y los sistemas arriba, y sede lo legal, resforzar las políticas y el cumplimiento de las regulaciones”, cierra Beliera.

 

No se trata sólo de cumplir: compliance abarca mucho más. Y abre puertas para poder crecer dentro del respeto a las normas.