Este artículo se publicó originalmente en el blog de SumTotal Systems
Cumplir o no cumplir la normativa, esa es la cuestión. Sin embargo, la respuesta para cualquier organización conlleva numerosas complejidades y repercusiones. Para muchas empresas, especialmente las de sectores muy regulados como los servicios financieros y el sector sanitario, tomar medidas para cumplir las obligaciones legales (lo que denominamos cumplimiento normativo) es fundamental para proteger la salud, la seguridad y el bienestar de la organización y de sus clientes.
Pero a medida que aumenta el tamaño de una empresa, las complejidades del cumplimiento se expanden hacia temas relacionados con trabajadores, contratación, despidos, discriminación, acoso, seguridad, salarios, nóminas y prestaciones, por nombrar solo unos pocos. La consecuencia es que la lista de responsabilidades de cumplimiento normativo es larga, y el coste de garantizarlo suele ser exorbitante.
Si es usted responsable de gestionar el cumplimiento en su organización, será consciente de los problemas habituales a la hora de implementar protocolos de cumplimiento para el personal. Desafortunadamente, la formación de cumplimiento y los empleados no siempre son una combinación fácil. Por lo general, para obtener un nivel de compromiso óptimo en toda la organización es necesario superar una capa de dificultad. Entre los puntos débiles habituales se incluyen los siguientes:
- A menudo los empleados afirman que no se sienten mejor preparados después de completar la formación de cumplimiento.
- Los empleados tienen la impresión de que la formación de cumplimiento es demasiado larga. La necesidad de proteger el tiempo de los empleados es una dinámica que plantea desafíos constantes.
- Los empleados simplemente confirman los requisitos de la formación de cumplimiento obligatoria sin escuchar ni leer. Consideran que la formación es "aburrida", lo que dificulta el compromiso y la retención del conocimiento.
Determinar soluciones para estos problemas puede agotar los recursos de una organización. Además, los empleados que tienen que prestar más atención a la formación de cumplimiento obligatoria ponen en peligro a toda la organización.
Pero existen otros factores que dificultan el cumplimiento. Además de la complejidad de comprometer a los empleados están los costes asociados con dicho esfuerzo. Muchos líderes empresariales racionalizan el coste del incumplimiento en relación con el gasto necesario para actualizar su tecnología y sus procesos de datos. Sin embargo, analizar el gasto provocado por el incumplimiento en función de marcos regulatorios como el RGPD, HIPAA y PCI-DSS, entre otros, resulta revelador.
Los costes de cumplimiento incluyen todas las actividades relacionadas con mantener el cumplimiento de las normativas relevantes por parte de una empresa. Las empresas deben tener un plan detallado que incluya las políticas y procedimientos destinados a satisfacer los requisitos de cumplimiento de manera adecuada y oportuna. También es necesario un sistema de registro preciso para documentar dichos procedimientos. Las mejores prácticas recomiendan el uso de software y bases de datos para realizar un seguimiento automático de todos los datos, y ayudar en tareas laboriosas como la gestión del rendimiento en auditorías y la gestión de riesgos de cumplimiento.
Teniendo en cuenta estas necesidades, es habitual que una empresa considere que las soluciones sugeridas son una molestia y un desgaste de recursos a menudo ya escasos. Pero aunque el coste del cumplimiento normativo puede parecer alto, el incumplimiento suele resultar mucho más caro a las organizaciones.
Estudios recientes indican que el incumplimiento normativo se ha vuelto más costoso que nunca, superando con creces los costes del cumplimiento. La seguridad de los datos conlleva el coste de cumplimiento más elevado, aunque, para la mayoría de empresas, la inversión en la seguridad de datos no tiene como objetivo mejorar la seguridad empresarial, sino cumplir las leyes y normativas.
Antes, las leyes y normativas de cumplimiento eran una recomendación encarecida, pero el incumplimiento no equivalía a las fuertes multas ni a las consecuencias legales o para la reputación de la empresa que son ahora posibles resultados del incumplimiento.
Las multas y sanciones por incumplimiento normativo son abultadas.
En 2018, las empresas que no cumplieron las normas sufrieron multas por valor de 3945 millones de dólares , así como otros 794 millones en gastos judiciales relacionados con las investigaciones y quejas de la SEC. Además, la FINRA impuso multas por valor de 61 millones de dólares. Aunque estos números son abrumadores, son solo el comienzo de los posibles costes para las empresas que operan sin programas sólidos de cumplimiento normativo.
Sin embargo, los costes no terminan ahí. La interrupción de la actividad económica relacionada con el incumplimiento —lo que incluye multas regulatorias, pérdida de productividad, pérdida de ingresos, pérdida de confianza de los clientes y gastos operativos para solucionar esta interrupción— ha costado a las empresas casi tres veces el coste del cumplimiento en los últimos años.
Planteado de otra forma, el coste medio del cumplimiento normativo era de 5,47 millones de dólares, mientras que el importe medio del incumplimiento era de 14,82 millones de dólares. El coste medio del incumplimiento ha aumentado más del 45 % en los últimos diez años.
A medida que las empresas se expanden, muchas de ellas acuden a organizaciones externas para garantizar el cumplimiento normativo y reducir los posibles costes asociados con el incumplimiento.
Las multas son solo uno de los costes del incumplimiento normativo para una empresa. Por ejemplo, si su organización infringe varias acciones por incumplimiento, la FDA puede recurrir dependiendo de la gravedad. Entre estas acciones se incluyen las siguientes:
- Envío de cartas de aviso para especificar las infracciones y solicitar una respuesta sobre la acción correctiva necesaria para corregir el problema
- Incautación de productos no conformes para evitar su venta
- Solicitud de mandatos judiciales para evitar que las empresas cometan o provoquen una infracción
Las empresas también deben tener en cuenta los costes financieros provocados por la erosión del mercado, el perjuicio a la reputación y la pérdida de confianza de los clientes, además de los litigios y las indemnizaciones. Además, todos los avisos de incumplimiento se publican en el sitio web de la FDA.
A pesar de los retos que presenta el cumplimiento normativo y de los crecientes costes asociados, está claro que el incumplimiento resulta mucho más costoso y arriesgado para la reputación, las partes interesadas y los resultados de una empresa. Sin embargo, más allá de los resultados de la empresa, ignorar las medidas obligatorias de cumplimiento normativo puede afectar a su negocio de las siguientes maneras:
- Interrupción de la actividad económica: cuando se detecta el incumplimiento, a menudo las empresas se ven obligadas a implementar cambios para lograr el cumplimiento normativo antes de poder reanudar sus operaciones. Y si se deben implantar nuevos procesos para garantizar el cumplimiento, se pueden producir otras interrupciones durante la implementación.
- Posibles violaciones de la seguridad de los datos: las normativas sobre protección de datos son cada vez más complejas debido al valor y la confidencialidad de los datos personales y patentados. El incumplimiento puede aumentar el riesgo de violaciones de la seguridad de los datos, pérdida de datos, ataques cibernéticos o amenazas internas.
- Daños a la reputación: se trata de uno de los costes del incumplimiento que más se pasan por alto. Reparar una reputación dañada es difícil y, con frecuencia, complicado de lograr en un plazo oportuno.
- Operaciones internacionales: la complejidad del cumplimiento normativo internacional en materia de nóminas es considerable. Los estudios realizados han demostrado que mantener el cumplimiento dentro del país es bastante más barato, por lo que tiene sentido cumplir las normativas antes de expandirse para evitar poner en peligro la capacidad de operar en el extranjero.
- Pérdida de ingresos: las violaciones de normativas afectan considerablemente a los ingresos de una empresa.
Al justificar los motivos para no implementar un programa de cumplimiento sólido, a menudo las organizaciones creen que gestionan de forma efectiva el riesgo de cumplimiento simplemente porque no han sufrido ninguna infracción de normativas hasta la fecha; pero esta creencia es un grave error. Que no se hayan producido infracciones no significa que no haya problemas; de hecho, puede haber problemas importantes que aún no se han detectado.
Si no se abordan, estos problemas podrían costarle a la empresa más de lo que hubiera gastado en soluciones para evitarlos. La mayoría de las empresas necesitan ayuda para permitirse la autocomplacencia con sus esfuerzos de cumplimiento. Aunque puede resultar tentador seguir operando como siempre se ha hecho, esto puede tener importantes impactos financieros y sobre la reputación.
Los riesgos asociados con el incumplimiento normativo no dejan de evolucionar. Por tanto, seguir confiando en programas antiguos de cumplimiento normativo no es una estrategia eficaz. En su lugar, los equipos necesitan una manera eficiente de supervisar y gestionar los programas de cumplimiento existentes (como gestionar manualmente las tareas de revisión o certificación y buscar información guardada en archivos o correos electrónicos) que pueden suponer riesgos de cumplimiento y falta de eficiencia.
Teniendo en cuenta que el coste del incumplimiento es casi tres veces el coste medio de cumplir las normativas del sector, nadie debería tener dudas sobre el valor de contar con un programa de cumplimiento interno sólido y las soluciones adecuadas necesarias para ser eficaces.