Hace unos años empezamos a hablar de DevOps. Después llegaron SecOps, FinOps, DataOps.
Todas estas disciplinas entendieron lo mismo: gestionar un proceso complejo no consiste en tener buenas herramientas, sino en construir un sistema capaz de operar de forma continua, automatizada y medible.
Sin embargo, hay un área de la empresa que todavía no ha vivido esa transformación. En demasiadas organizaciones, el compliance sigue siendo uno de los últimos grandes procesos gestionados a base de correos electrónicos, hojas de cálculo y recordatorios personales.
Paradójicamente, nunca ha habido tantas obligaciones regulatorias… ni tantas herramientas para gestionarlas. Y, sin embargo, muchos departamentos de Compliance siguen dedicando buena parte de su tiempo a perseguir documentos, reconstruir evidencias y recordar tareas pendientes.
La razón no es que falten herramientas. Es que la mayoría fueron diseñadas para resolver obligaciones concretas, no para operar el cumplimiento de forma integral. Una para el canal de denuncias, otra para la gestión de terceros, otra para riesgos… pero ninguna para el conjunto.
El problema ya no es la falta de software. Es la falta de un sistema operativo para el compliance.
Quizá el problema nunca haya sido la normativa.
El problema nunca fueron las normas
Cuando se pregunta a un responsable de Compliance cuál es su mayor dificultad, casi nunca responde que sea interpretar una ley.
Los problemas suelen ser mucho más mundanos.
- ¿Quién tenía que revisar esta política?
- ¿Qué proveedor sigue pendiente de evaluación?
- ¿Dónde está la evidencia de ese control?
- ¿Quién realizó la última aprobación?
- ¿Qué empleados todavía no han completado la formación obligatoria?
- ¿Qué riesgos llevan seis meses sin revisarse?
El trabajo del compliance moderno no consiste únicamente en conocer la normativa.
Consiste en conseguir que cientos de pequeños procesos ocurran cuando deben ocurrir. Y, sobre todo, que quede constancia de ello.
El compliance ya no es documentación
Durante años hemos asociado el cumplimiento normativo a documentos: políticas, procedimientos, matrices de riesgos, informes o registros.
Pero la realidad es otra. El compliance actual es una actividad permanente. Cada día suceden cosas:
- Se incorpora un empleado.
- Se firma un proveedor.
- Se modifica una política.
- Se produce un incidente.
- Se detecta un nuevo riesgo.
- Caduca una certificación.
- Se ejecuta un control.
Cada uno de esos eventos genera una obligación. Y cada obligación necesita un responsable, un plazo, una evidencia y una trazabilidad. El verdadero objeto del compliance ya no son los documentos.Son los procesos que generan esos documentos. En otras palabras: ya no estamos gestionando documentación.
Estamos gestionando operaciones.
Compliance Operations
Cada vez más organizaciones están entendiendo que el cumplimiento normativo necesita funcionar como una operación continua, no como un proyecto que se reactiva cada vez que se acerca una auditoría.
No basta con preparar una auditoría. Hay que estar preparado para cualquier auditoría, en cualquier momento.
No basta con conservar evidencias. Hay que generarlas de forma natural mientras la organización trabaja.
No basta con reaccionar cuando aparece un problema. Hay que detectar qué tareas están pendientes antes de que el problema exista.
Nosotros llamamos a esta forma de trabajar Compliance Operations (ComplianceOps): una gestión del cumplimiento basada en procesos continuos, automatización, colaboración y trazabilidad.
Compliance Operations en acción
En lugar de depender de correos electrónicos, hojas de Excel y de la memoria de una persona, los procesos pasan a formar parte del funcionamiento normal de la organización.
Cuando entra un nuevo empleado, recibe automáticamente las políticas que debe aceptar, se le asignan las formaciones obligatorias, se le solicitan los formularios necesarios y queda registrada cada aceptación. (People Compliance).
Cuando se incorpora un proveedor, se inicia su homologación, se recopila la documentación requerida, se calcula su criticidad y se programa automáticamente su reevaluación futura. (Third Party Manager).
Cuando aparece un incidente, se documenta en el momento en que ocurre, se asignan responsables y plazos, se generan las tareas de remediación, se conservan las evidencias y queda registrada toda la cronología, desde la detección hasta el cierre. (Incident Manager).
Cuando una política cambia, sigue su cadena de aprobación, se publica la nueva versión, se solicita nuevamente su aceptación a quien corresponda y se conserva el histórico completo de versiones y firmas. (Policy Manager).
Cuando un riesgo lleva meses sin revisarse, el sistema no se limita a recordar que existe. Muestra toda su evolución: quién lo identificó, cómo ha cambiado su criticidad, qué controles se implantaron, qué evidencias existen y cuándo debe volver a evaluarse. (Risk Manager).
Nada depende de que alguien se acuerde.
El sistema acompaña el proceso.
La auditoría deja de ser un proyecto
Muchas organizaciones viven la auditoría como una carrera de última hora.
- Semanas buscando documentos.
- Reconstruyendo decisiones.
- Persiguiendo evidencias.
- El problema casi nunca es la auditoría.
- Es que la evidencia nunca se generó correctamente desde el principio.
Las organizaciones más maduras trabajan justo al revés. Construyen la evidencia cada día. Cuando llega la auditoría, simplemente muestran lo que ya existe.
Porque la mejor auditoría es aquella que prácticamente se prepara sola.
El verdadero activo es la confianza
La mayoría de las organizaciones no serán cuestionadas porque les falte una política.
Serán cuestionadas porque no pueden demostrar que esa política estaba vigente, fue aprobada, comunicada, aceptada y revisada. Cada vez más clientes, inversores, administraciones públicas, certificadoras y organismos reguladores buscan exactamente lo mismo.
No quieren promesas. –> Quieren evidencias.
Y esa diferencia cambia por completo la forma de entender el compliance.
El futuro del compliance será operativo
Igual que DevOps cambió la forma de desarrollar software y SecOps transformó la seguridad, todo apunta a que el cumplimiento normativo evolucionará hacia modelos mucho más operativos.
- Menos documentos aislados.
- Menos procesos manuales.
- Menos hojas de cálculo.
- Más automatización.
- Más integración.
- Más seguimiento.
- Más evidencias.
Porque el objetivo del compliance ya no es únicamente cumplir una norma. Es conseguir que el cumplimiento forme parte del funcionamiento natural de la organización. Las empresas que entiendan este cambio no solo dedicarán menos tiempo a preparar auditorías. También tomarán mejores decisiones, reaccionarán antes ante los riesgos y podrán demostrar su cumplimiento en cualquier momento.
Eso es Compliance Operations.
Y probablemente sea la próxima gran evolución del compliance.
El compliance del futuro no se medirá por el número de políticas que tenga una organización. Se medirá por su capacidad para demostrar, en cualquier momento, que esas políticas realmente funcionan y se cumplen.
Compliance dejó de ser un departamento.
Está empezando a convertirse en el sistema operativo de la organización.
En Ithikios llevamos tiempo construyendo esta visión: una plataforma donde personas, políticas, riesgos, incidentes, terceros, controles y evidencias forman parte de un mismo sistema operativo de compliance.
Porque creemos que el futuro no pasa por tener más herramientas aisladas, sino por disponer de una plataforma capaz de operar el cumplimiento de forma continua.
¿Cómo cambiaría el trabajo de tu equipo si el compliance dejara de depender de Excel, correos y recordatorios para convertirse en un proceso vivo, automatizado y siempre preparado para demostrar evidencias?
Si quieres verlo aplicado a tu organización, solicita una demo.