Contacta’ns

complianceoperations

Compliance Operations: la disciplina que està transformant el compliment normatiu

Fa uns anys vam començar a parlar de DevOps . Després van arribar SecOps , FinOps , DataOps .

Totes aquestes disciplines van entendre el mateix: gestionar un procés complex no consisteix a tenir bones eines, sinó a construir un sistema capaç d’operar de manera contínua, automatitzada i mesurable.

Tot i això, hi ha una àrea de l’empresa que encara no ha viscut aquesta transformació. En massa organitzacions, el compliance continua sent un dels darrers grans processos gestionats a base de correus electrònics, fulls de càlcul i recordatoris personals.

Paradoxalment, mai no hi ha hagut tantes obligacions regulatòries… ni tantes eines per gestionar-les. I, no obstant, molts departaments de Compliance continuen dedicant bona part del seu temps a perseguir documents, reconstruir evidències i recordar feines pendents.

La raó no és que faltin eines. És que la majoria van ser dissenyades per resoldre obligacions concretes, no per operar el compliment de manera integral. Una per al canal de denúncies, una altra per a la gestió de tercers, una altra per a riscos… però cap per al conjunt.

El problema ja no és la manca de programari. És la manca d’un sistema operatiu per al compliance.

Potser el problema mai no ha estat la normativa.

El problema mai van ser les normes

Quan es pregunta a un responsable de Compliance quina és la seva dificultat més gran, gairebé mai respon que sigui interpretar una llei.

Els problemes solen ser molt més mundans.

  • Qui havia de revisar aquesta política?
  • Quin proveïdor continua pendent d’avaluació?
  • On és l’evidència d’aquest control?
  • Qui va fer la darrera aprovació?
  • Quins empleats encara no han completat la formació obligatòria?
  • Quins riscos porten sis mesos sense revisar-se?

El treball del compliance modern no consisteix únicament a conèixer la normativa.

Consisteix a aconseguir que centenars de petits processos passin quan han de passar. I, sobretot, que en quedi constància.

El compliance ja no és documentació

Durant anys hem associat el compliment normatiu a documents: polítiques, procediments, matrius de riscs, informes o registres.

Però la realitat és una altra. El compliance actual és una activitat permanent. Cada dia succeeixen coses:

  • S’hi incorpora un empleat.
  • Se signa un proveïdor.
  • Es modifica una política.
  • Es produeix un incident.
  • Es detecta un risc nou.
  • Caduca una certificació.
  • S’executa un control.

Cadascun d’aquests esdeveniments genera una obligació. I cada obligació necessita un responsable, un termini, una evidència i una traçabilitat. El veritable objecte del compliance ja no són els documents. Són els processos que generen aquests documents. En altres paraules: ja no estem gestionant cap documentació.

Estem gestionant operacions.

Compliance Operations

Cada cop més organitzacions estan entenent que el compliment normatiu necessita funcionar com una operació contínua, no com un projecte que es reactiva cada cop que s’acosta una auditoria.

No n’hi ha prou amb preparar una auditoria. Cal estar preparat per a qualsevol auditoria, en qualsevol moment.

No n’hi ha prou de conservar evidències. Cal generar-les de manera natural mentre l’organització treballa.

No n’hi ha prou de reaccionar quan apareix un problema. Cal detectar quines tasques estan pendents abans que el problema existeixi.

Nosaltres anomenem aquesta forma de treballar Compliance Operations (ComplianceOps): una gestió del compliment basada en processos continus, automatització, col·laboració i traçabilitat.

Compliance Operations en acció

En lloc de dependre de correus electrònics, fulls dExcel i de la memòria duna persona, els processos passen a formar part del funcionament normal de lorganització.

Quan entreu un nou empleat , rep automàticament les polítiques que heu d’acceptar, se us assignen les formacions obligatòries, se us demanen els formularis necessaris i queda registrada cada acceptació. (People Compliance).

Quan s’incorpora un proveïdor , s’inicia la seva homologació, es recopila la documentació requerida, se’n calcula la criticitat i se’n programa automàticament la reavaluació futura. (Third Party Manager).

Quan apareix un incident , es documenta en el moment que passa, s’assignen responsables i terminis, es generen les tasques de remediació, es conserven les evidències i queda registrada tota la cronologia, des de la detecció fins al tancament. (Incident Manager).

Quan una política canvia , segueix la seva cadena d’aprovació, se’n publica la nova versió, se’n sol·licita novament l’acceptació a qui correspongui i es conserva l’històric complet de versions i signatures. (Policy Manager).

Quan un risc fa mesos que no es revisa , el sistema no es limita a recordar que existeix. Mostra tota la seva evolució: qui ho va identificar, com ha canviat la seva criticitat, quins controls es van implantar, quines evidències hi ha i quan s’ha de tornar a avaluar. (Risk Manager).

Res no depèn que algú s’acordi.

El sistema acompanya el procés.

L’auditoria deixa de ser un projecte

Moltes organitzacions viuen l?auditoria com una carrera d?última hora.

  • Setmanes cercant documents.
  • Reconstruint decisions.
  • Perseguint evidències.
  • El problema gairebé mai no és l’auditoria.
  • És que l’evidència mai no es va generar correctament des del principi.

Les organitzacions més madures treballen just al revés. Construeixen l?evidència cada dia. Quan arriba l’auditoria, simplement mostren allò que ja existeix.

Perquè la millor auditoria és aquella que pràcticament es prepara sola.

El veritable actiu és la confiança

La majoria de les organitzacions no seran qüestionades perquè els hi falti una política.

Seran qüestionades perquè no poden demostrar que aquesta política era vigent, va ser aprovada, comunicada, acceptada i revisada. Cada cop més clients, inversors, administracions públiques, certificadores i organismes reguladors busquen exactament el mateix.

No volen promeses. –> Volen evidències.

I aquesta diferència canvia completament la forma d’entendre el compliance.

El futur del compliance serà operatiu

Igual que DevOps va canviar la manera de desenvolupar programari i SecOps va transformar la seguretat, tot apunta que el compliment normatiu evolucionarà cap a models molt més operatius.

  • Menys documents aïllats.
  • Menys processos manuals.
  • Menys fulls de càlcul.
  • Més automatització.
  • Més integració.
  • Més seguiment.
  • Més evidències.

Perquè l’objectiu del compliance ja no és només complir una norma. És aconseguir que el compliment formi part del funcionament natural de lorganització. Les empreses que entenguin aquest canvi no només dedicaran menys temps a preparar auditories. També prendran millors decisions, reaccionaran abans davant els riscos i podran demostrar-ne el compliment en qualsevol moment.

Això és Compliance Operations.

I probablement sigui la propera gran evolució del compliance.

El compliance del futur no es mesurarà pel nombre de polítiques que tingui una organització. Es mesurarà per la seva capacitat per demostrar, en qualsevol moment, que aquestes polítiques realment funcionen i es compleixen.

Compliance va deixar de ser un departament.

Es comença a convertir en el sistema operatiu de l’organització.

A Ithikios fa temps que construïm aquesta visió: una plataforma on persones, polítiques, riscos, incidents, tercers, controls i evidències formen part d’un mateix sistema operatiu de compliance.

Perquè creiem que el futur no passa per tenir més eines aïllades, sinó per disposar d’una plataforma capaç d’ operar el compliment de manera contínua .

Com canviaria la feina del teu equip si el compliance deixés de dependre de l’Excel, els correus i els recordatoris per convertir-se en un procés viu, automatitzat i sempre preparat per demostrar evidències?

Si vols veure-ho aplicat a la teva organització, demana una demo .

Articles relacionats

ENFCO acaba de publicar el seu Whistleblowing Framework 2026 , un document de més de 100 pàgines que analitza cap on evolucionen els sistemes de whistleblowing a Europa. Després de...

En compliment normatiu, la informació ho és tot. Però tenir-la no és suficient: la manera com es sol·licita, emmagatzema, avalua i es manté actualitzada al llarg del temps és crucial....

Vols provar el nostre canal de denúncies?

Fes-ho des d’aquí durant 15 dies, sense compromís, sense targetes,…

Vols veure com ithikios et pot ajudar?

Comença avui. Compleix la normativa en hores. I quan creixis, ithiki us t’acompanya.