Compliance como práctica esencial en el buen gobierno de la empresa | ||||||
Por: Álvaro Ecija Bernal El número creciente de normativas que tienen como objetivo la regulación de sectores, el establecimiento de estándares de seguridad y evitar situaciones que comprometan la integridad y buen funcionamiento de las mismas, está convirtiendo el concepto del cumplimiento normativo (Compliance) en un aspecto que cada vez más empresas deben tener en cuenta para garantizar el buen posicionamiento y gobierno de la empresa. Para afrontar este concepto y siguiendo la práctica ya consolidada en otros países, en España las empresas están creando departamentos de cumplimiento normativo, con un responsable, normalmente denominado, Compliance Officer. La figura del Compliance Officer requiere de un perfil muy determinado, pues se enclava entre los departamentos de Asesoría Jurídica, Auditoría y Sistemas de Información, ya que los asuntos que entran en su ámbito requieren un conocimiento multidisciplinar para lograr los objetivos que se proponen. Existe una gran diversidad de normas que afectan a las compañías con carácter general (Ley de Protección de Datos), que les aplica como unas Buenas Prácticas de Carácter Voluntario (Buen Gobierno Corporativo), que deben cumplir para conseguir o mantener un estándar (ISO 27001), a las que se sujetan por el grupo multinacional al que pertenecen (SOX) o que les afecta por el tipo de sector en el que trabajan (Blanqueo de Capitales, Basilea, Solvencia, MiFID, etc.). Todas estas normas tienen al menos tres cosas en común: – Su objetivo es asegurar la transparencia de la sociedad, evitar fraudes y respetar los derechos de accionistas y clientes. – Gran parte del cumplimiento de estas normas, casi su totalidad, pasa por el establecimiento de controles internos, de forma equilibrada respecto a los derechos y privacidad de los trabajadores. – Todos esos controles internos hay que practicarlos sobre la información con la que los usuarios trabajan en la compañía. |
||||||
|
||||||
Para que el Compliance Officer pueda realizar su labor necesitará los mecanismos y herramientas software precisas, ya que: – Para realizar controles internos efectivos sobre las ingentes cantidades de información que manejan las compañías, deben automatizarse procesos. – Es preciso tener la posibilidad de conocer el estado de cumplimiento a través de paneles de control y edición de informes para la Dirección. – Los procesos deben ser auditables y mantener una trazabilidad de eventos en los sistemas de información A modo de conclusión, sin duda, las compañías se encuentran en un momento donde resulta necesaria una correcta gestión del Compliance, debido a la enorme y variada normativa que se viene aprobando para asegurar la transparencia y encorsetar el fraude. El componente jurídico-tecnológico en el Compliance y su apoyo en herramientas es de vital importancia para hacer cumplir una normativa que implica controles técnicos informáticos e importantes repercusiones legales, financieras y de imagen. La información de la compañía es uno de sus principales activos de negocio, por lo que resulta necesario aplicar la correspondiente protección que merece. Por ello, a pesar de que se empiece a hablar de Compliance en los últimos años, hace ya tiempo que el “cumplimiento normativo” es uno de los principales puntos que existen en los estándares de Gestión de la Seguridad de la Información y Gestión de Riesgos. |
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.