Net Emmissons.jpeg

No es ningún secreto que navegar en el panorama altamente regulado actual requiere una cierta cantidad de planificación estratégica dentro de la organización. Sin embargo, a medida que avanzamos hacia una era de sostenibilidad corporativa, la necesidad de dicha planificación y coordinación se volverá aún más importante: una capacidad indispensable que los equipos de cumplimiento y riesgo necesitarán lograr correctamente. Escrito por Florian Haarhaus, director general internacional de NAVEX

Con ese fin, deberíamos aclarar la multitud de siglas relacionadas con el riesgo (ESG, GRC, EHS, SRC y más) que zumban en las oficinas corporativas estos días. Cada uno tiene un papel legítimo que desempeñar para ayudar a las empresas a gestionar el riesgo, pero los responsables de cumplimiento deben guiar todos esos esfuerzos de manera coherente. De lo contrario, los intentos de gestionar el riesgo se convertirán en caos.

Primero descifremos qué significan esas siglas. Luego podremos explorar cómo los responsables de cumplimiento pueden gestionarlos todos (como un director de orquesta dirigiendo una orquesta) para lograr el máximo efecto.

De EHS a SRC y de GRC a ESG

EHS es un subconjunto específico de obligaciones regulatorias relacionadas con estándares ambientales, de salud y de seguridad. Pueden incluir medidas de protección ambiental legalmente requeridas, normas sanitarias para productos de consumo, reglas de seguridad en el lugar de trabajo y similares.

SRC, o categoría de riesgo de seguridad, clasifica cada amenaza como amenazas físicas, amenazas humanas o amenazas cibernéticas. Este es un aspecto crítico de la gestión de riesgos, que permite a los responsables de cumplimiento y/o seguridad centrar sus estrategias de riesgos de seguridad y dividir las tareas.

GRC significa gobernanza, riesgo y cumplimiento, y el concepto ha flotado en los círculos de gestión de riesgos durante 20 años. En términos generales, un programa GRC ayuda a una empresa a cumplir con sus obligaciones regulatorias; gestionar otros riesgos (como ataques de ciberseguridad) que no necesariamente corresponden a determinadas regulaciones; y gobernar la organización para que los riesgos emergentes puedan recibir atención inmediata.

ASG, la palabra de moda del momento, significa factores ambientales, sociales y de gobernanza que una empresa necesita gestionar. Algunos de estos factores podrían ser requeridos por la regulación, como la lucha contra la contaminación o normas laborales justas; otros pueden ser voluntarios, como el compromiso de utilizar energía limpia u ofrecer a los empleados tiempo libre remunerado para ser voluntarios en buenas causas.

Existe una considerable superposición entre estos campos. Se pueden asignar a un cuadrado de palabras:

EHS

S R

G.R.C.

Es decir, todos los riesgos EHS son también riesgos ESG y riesgos GRC, que se consideran en SRC; pero no todos los riesgos ESG son riesgos GRC, y viceversa.

Con el panorama regulatorio y de riesgos en constante cambio, los funcionarios de cumplimiento deben poder capturar toda la información necesaria sobre estas prioridades superpuestas, para que la empresa pueda cumplir con sus obligaciones de cumplimiento regulatorio y cumplir con sus objetivos de gestión de riesgos de una manera eficiente y confiable.

Qué deberían hacer las sólidas capacidades de cumplimiento

El principal desafío para los oficiales de cumplimiento es comprender los riesgos que enfrentan, de modo que luego puedan recopilar los datos necesarios para gestionar los riesgos de manera inteligente.

Por ejemplo, consideremos el riesgo de trabajo forzoso en la cadena de suministro. Eso puede ser un problema de GRC, ya que es posible que se requiera que la empresa realice la debida diligencia en la cadena de suministro para cumplir con la Ley de Diligencia Debida de la Cadena de Suministro de Alemania, la Ley de Transparencia de Noruega, la Ley de Esclavitud Moderna en el Reino Unido o Australia, y otras leyes. . Al mismo tiempo, el trabajo forzoso también es un ‘riesgo S’ en ESG, ya que puede generar mala publicidad, boicots de los consumidores y relaciones comerciales agrias.

Un programa de cumplimiento eficaz, que utilice la tecnología adecuada, sacará a la luz esas demandas superpuestas. Mapeará visualmente los riesgos y las obligaciones de cumplimiento normativo, para que las empresas puedan ver qué problemas siguen surgiendo repetidamente. Con esa información, pueden determinar qué políticas y controles sirven a todos esos intereses de manera más eficiente. Por ejemplo: “Tenemos estas cuatro obligaciones diferentes de diligencia debida en la cadena de suministro; Entonces, recopilemos los siguientes datos de nuestros proveedores en un solo cuestionario, para asegurar el cumplimiento de las cuatro reglas de una sola vez”.

A medida que la sostenibilidad corporativa y el cumplimiento normativo sigan convergiendo (según el ejemplo anterior del trabajo forzoso), un sistema de cumplimiento que pueda ayudar a navegar esa convergencia será cada vez más importante. En última instancia, las empresas necesitarán tecnología de cumplimiento que pueda:

  • Incorporar nuevas regulaciones y demandas de sostenibilidad a los marcos de cumplimiento existentes.
  • Identifique la superposición entre esas demandas de EHS, SRC, ESG y GRC para determinar qué controles, políticas o procedimientos satisfarán múltiples necesidades.
  • Ayude a recopilar y rastrear esos datos en un repositorio central, para obtener mejores informes y tener una idea de la «postura de cumplimiento» de la organización en un momento dado.

Para ser justos, esos tres puntos siempre han sido ciertos cuando las empresas lucharon primero con el cumplimiento de los informes financieros (en la década de 2000) y luego con la privacidad y la seguridad (en la década de 2010). Hoy, el nuevo desafío es la sostenibilidad.

La respuesta, sin embargo, sigue siendo la misma. Con un uso inteligente de la tecnología GRC, las empresas podrán identificar y gestionar riesgos de manera eficiente y a escala. Esto seguirá siendo cierto sin importar lo que venga después.