A medida que una empresa crece, también lo hace su biblioteca de políticas y procedimientos. ¿Su equipo de gestión de políticas está notablemente más ocupado? Tal vez las políticas se estén gestionando mal o estén desactualizadas, lo que deja a la organización expuesta.
Cuando se trata de la gestión de políticas, ¿sigue utilizando procesos manuales como hojas de cálculo y correos electrónicos o unidades compartidas? Tal vez su sistema actual no tenga la capacidad de mantenerse al día con los cambios necesarios al implementar, actualizar y mantener sus políticas y procedimientos. Quizás también esté perdiendo el control de las certificaciones y las declaraciones. La adopción de políticas por parte del usuario final también podría ser un desafío. Las herramientas de gestión de políticas torpes y obsoletas crearán estos problemas, al igual que la dependencia continua de los procesos manuales.
¿Qué es la gestión de políticas?
La gestión de políticas es el proceso de crear, implementar y mantener una biblioteca actual de políticas y procedimientos dentro de una organización. Si se hace de manera efectiva, la gestión de políticas y procedimientos puede ayudar a las organizaciones a reducir el riesgo y proteger a las partes interesadas.
El Open Compliance and Ethics Group (OCEG) define las políticas como la piedra angular del cumplimiento en organizaciones de todos los tamaños. Las políticas establecen las directrices que deben seguirse al formalizar los procedimientos y participar en las operaciones diarias del negocio. Las políticas no solo le dicen a una empresa cómo debe comportarse en sus operaciones diarias, sino que también ofrecen una forma uniforme y consistente de manejar situaciones difíciles.
Las políticas y sus hermanos pequeños, los procedimientos, son la forma en que una organización pone en práctica su ética y sus prioridades; una empresa puede proclamar sus valores a los cuatro vientos, pero hasta que esos valores sean realmente vividos y respirados por el personal, las palabras suenan vacías.
¿Cómo es una mala gestión de políticas?
Las organizaciones de hoy en día confían en un conjunto integral de políticas y procedimientos que guían la conducta de sus empleados, partes interesadas y la administración, así como de la organización en su conjunto.
Si dicha documentación está en papel o basada en correo electrónico y dispersa por toda la organización, es difícil de mantener, administrar y distribuir. Persistir con un enfoque fortuito e ineficiente de la gestión de políticas aumenta las posibilidades de que las políticas se escriban, presenten y gestionen de forma inconsistente, a la vez que resulta costoso y requiere mucho tiempo. ¿El peor de los casos? Una mala gestión de políticas puede exponer a su organización a una nueva serie de problemas en forma de riesgos legales, regulatorios, de reputación y de salud y seguridad.
En este blog, destacamos los indicadores clave de que su proceso de gestión de políticas necesita una actualización. Además, explicamos por qué debe gestionarse como parte de su programa GRC más amplio para garantizar que su organización tenga políticas suficientes para mitigar los riesgos conocidos, garantizar que el personal esté operando en línea con los requisitos de cumplimiento e implementar una gobernanza suficiente con respecto a los valores de la empresa.
10 señales de que su proceso de gestión de políticas necesita una actualización
Decir que es un desafío mantener las políticas actualizadas con las mejores prácticas de la industria, los estándares de acreditación y las regulaciones en constante cambio es quedarse corto, y sin la herramienta de políticas adecuada, es como entrar en un combate de boxeo sin guantes.
A medida que la sociedad se vuelve cada vez más litigiosa y la imagen pública gana cada vez más importancia, la gestión y el cumplimiento de las políticas importan ahora más que nunca. Cuando proporciona a sus equipos las herramientas adecuadas para adherirse de forma proactiva a los estándares, tanto obligatorios como voluntarios, se ahorra a sí mismo, a su empresa y a su equipo legal mucho tiempo y dinero; en resumen, la gestión de políticas se trata de ser proactivo, no reactivo.
Pero si no tiene una herramienta de gestión de políticas, o mejor dicho, si no tiene una buena, aquí hay 10 señales de que su proceso de gestión de políticas necesita una actualización:
1. No tiene un repositorio central para las políticas activas
Crear un repositorio central de políticas puede ser un desafío. La mayoría de las organizaciones recurren al uso de varios sitios, archivos y carpetas de SharePoint para almacenar las políticas, si bien esto suena plausible en principio, puede generar una gran cantidad de problemas.
Los archivos y carpetas compartidos carecen de control de versiones e historial de documentos, y no brindan la capacidad de ver información vital sobre aprobaciones, fechas de vencimiento y declaraciones de políticas. A menudo, las organizaciones se encuentran gestionando incidentes cibernéticos, de recursos humanos y de TI utilizando diferentes herramientas, procesos y ubicaciones de archivos, lo que resulta en métodos inconexos que dificultan el acceso a la política correcta.
2. No tiene un proceso formal de aprobación de políticas
No tener un proceso formal de creación y aprobación de políticas crea un mundo de ambigüedad en torno a la validez y el estado de aprobación de las políticas, lo que crea innumerables oportunidades para que las políticas se filtren antes de que se promulguen por completo. Cuando las políticas se envían para su aprobación por correo electrónico, no hay una descripción general central para verificar si la persona aprobó, modificó o rechazó la política. Si se pierde un correo electrónico, el propietario de la política tendría que perseguir manualmente a la parte interesada, y no hay una vista central de cuándo se aprobaron o rechazaron las políticas y qué cambios se realizaron.
Sin tecnología automatizada para facilitar el progreso a la siguiente etapa del flujo de trabajo de aprobación, no hay ningún sistema implementado para garantizar que se avance, esto retrasa la revisión de la política, lo que deja políticas obsoletas en uso. Las políticas obsoletas son una forma segura de dejar a su organización en riesgo. Las políticas antiguas pueden no cumplir con las nuevas leyes y regulaciones. Además, es posible que no aborden los nuevos sistemas o procesos, lo que resulta en prácticas inconsistentes. La conclusión es que tener un proceso formal de revisión de políticas para actualizar periódicamente sus políticas y procedimientos mantiene a su organización al día con los últimos requisitos y valores de la empresa, manteniendo a la organización en consonancia con las mejores prácticas de la industria.
3. Está utilizando procesos manuales que carecen de flujos de trabajo y controles automatizados
¿Su proceso de aprobación de políticas obliga a los miembros de su equipo a dedicar mucho tiempo a rastrear papeleo, compartir documentos de Word o Excel, enviar innumerables correos electrónicos, hacer una serie de llamadas telefónicas interminables y lidiar con muchas comunicaciones erróneas? Los procesos manuales que se basan en hojas de cálculo y correos electrónicos harán eso por usted. Si alguna vez ha trabajado con un comité en la creación de un solo documento, sabe lo complicado que puede ser cuando diferentes personas realizan cambios en el documento.
El uso de software GRC para automatizar el proceso de gestión de políticas permite a las organizaciones configurar flujos de trabajo automatizados para aprobaciones y escalamientos de políticas, lo que garantiza un proceso eficiente que fomenta la transparencia y la responsabilidad. Los líderes pueden establecer controles para que se les notifique cuando las políticas estén a punto de vencer, cuando se incumplan los plazos de aprobación y cuando los empleados no hayan leído ni atestiguado las políticas. Establecer controles es una forma segura de garantizar que las políticas siempre se modifiquen a tiempo y de detectar cualquier problema de forma temprana.
4. Le cuesta realizar un seguimiento de las políticas activas, las fechas de vencimiento y las actualizaciones
Para abreviar, cuando se trata de la renovación de políticas, los procesos manuales colocan la carga de la renovación por completo en los individuos, dejando que los empleados recuerden cuándo una política necesita renovación, ya que no existe un proceso formal para recordarles. Esto significa que las políticas obsoletas pasan desapercibidas, lo que deja a la organización expuesta. Los procesos manuales no permiten una visibilidad rápida del estado de aprobación y no incitan a los empleados en la cadena de aprobación a hacer sus comentarios, lo que resulta en procesos estancados.
5. Las políticas carecen de propiedad y responsabilidad
Las organizaciones que abordan la gestión de políticas sin una propiedad y responsabilidad claras enfrentan un riesgo significativo para su negocio. La propiedad debe definirse en todos los niveles del ciclo de vida de la política. Los creadores, aprobadores, propietarios de la política y el personal al que se aplica la política deben estar claramente definidos, esta propiedad y responsabilidad garantiza que cualquier incumplimiento de la política de la empresa se aborde con rapidez. Esto permite a los propietarios de la política otorgar excepciones, supervisar los incidentes y las violaciones de las políticas, y se extiende a la gobernanza de la política y las responsabilidades de aceptación. Las organizaciones de hoy en día requieren una visión empresarial de la responsabilidad y la colaboración de las políticas que solo se puede lograr utilizando una plataforma GRC integrada con rutas claras de propiedad y escalamiento.
6. No tiene un proceso estructurado para hacer circular las políticas y recopilar las declaraciones
Los empleados no pueden seguir las políticas que no conocen, pero poner las políticas en las manos correctas y garantizar que el personal haya leído y atestiguado las políticas relevantes puede ser un desafío sin un proceso de seguimiento formal. Las políticas en papel y las unidades y carpetas compartidas no proporcionan un proceso estructurado para hacer circular las políticas. Los empleados pueden tener problemas para acceder a documentos compartidos y los archivos pueden sobrescribirse y modificarse incorrectamente. La recopilación de declaraciones puede ser problemática utilizando procesos manuales como el correo electrónico, ya que no hay una descripción general central del estado de aprobación y las acciones pendientes, y cualquier seguimiento también se realiza manualmente por correo electrónico, lo que lleva un tiempo valioso. Con una herramienta GRC especializada, cuando se crea una política, la carga de obtener el reconocimiento se transfiere al software.
7. No tiene una visión holística del estado de la política
Cuando las políticas se crean de forma ad hoc, y las modificaciones, aprobaciones y la circulación se realizan por correo electrónico, no hay una descripción general central del estado de cada política y quién la atestiguó y cuándo. Cuando las políticas se gestionan utilizando una herramienta de software GRC especializada, los líderes pueden extraer fácilmente una lista de políticas obsoletas o políticas que están a punto de vencer y obtener vistas en tiempo real del estado de aprobación de la política y cualquier acción pendiente.
8. La elaboración de informes sobre las políticas es lenta y engorrosa
Intentar ejecutar informes sobre el estado de la política y las fechas de vencimiento es casi imposible cuando se utilizan procesos manuales. Los equipos tendrían que extraer manualmente los datos más recientes, conectándolos a innumerables hojas de cálculo para asegurarse de que las personas adecuadas tengan acceso a la información, solo para repetir el proceso una y otra vez, ya sea a diario, semanal y/o mensual. Este proceso agotador e improductivo no solo consume recursos valiosos, sino que dificulta los esfuerzos de gestión y crecimiento y está plagado de errores humanos y datos inexactos.
9. Sus políticas no abordan los principales riesgos en su registro de riesgos
Existe una profunda conexión entre la gestión de riesgos y la gestión de políticas. Las políticas, los procedimientos y las mejores prácticas solo pueden tener éxito si su organización tiene un conjunto claro de objetivos y políticas establecidos que aborden los principales riesgos en su registro de riesgos. Las políticas y los procedimientos a menudo se diseñan como controles o planes específicos que se implementan para mitigar los riesgos o evitarlos por completo.
En última instancia, las políticas y los procedimientos son responsables de definir la cultura de riesgo de su organización. No comprender esta relación intrínseca es donde muchas empresas fracasan tanto en abordar el riesgo como en implementar políticas y procedimientos eficaces. Esta falta de integración entre el riesgo y las políticas también puede conducir a un efecto dominó en la creación de lo que se ha denominado políticas deshonestas creadas de forma ad hoc, lo que significa que no están alineadas con los objetivos o los riesgos definidos, a menudo impidiendo a una organización y dejándola expuesta al riesgo.
10. Sus políticas no abordan sus obligaciones de cumplimiento
Cuando se hace correctamente, la gestión de políticas impulsa el cumplimiento diario, minimiza los riesgos y las responsabilidades, y construye la cultura de la empresa. Las políticas definen cómo una organización cumple con las obligaciones regulatorias y los requisitos de cumplimiento. Vincular la gestión de políticas y el cumplimiento garantiza que los procedimientos internos encajen con las obligaciones de cumplimiento y garantiza que las políticas se actualicen continuamente con los últimos requisitos regulatorios. No vincular estas funciones podría resultar en el incumplimiento de las leyes y la legislación externas, así como con sus propias políticas y procedimientos internos.
Ventajas clave de llevar su proceso de gestión de políticas en línea
El establecimiento de políticas eficaces no comienza y termina con las regulaciones. Requiere el tipo correcto de medios de distribución, los métodos correctos para medir la comprensión y la cantidad correcta de colaboración. Todas estas cosas requieren una enorme cantidad de tiempo y energía, por lo que automatizarlas con una solución de software puede aumentar la eficiencia y garantizar el cumplimiento de sus políticas y procedimientos. Aquí exploramos 3 ventajas de llevar su proceso de gestión de políticas en línea utilizando una plataforma GRC.
1. Acceso a una biblioteca digital centralizada de todas las políticas
Al llevar su proceso de gestión de políticas en línea utilizando una herramienta GRC automatizada, creará una biblioteca de búsqueda centralizada de todas sus políticas en línea. A medida que se cargan las políticas, se les pedirá al personal que ingrese información esencial sobre cada política, incluido el autor, el propietario y los aprobadores, y las fechas de creación, aprobación y vencimiento. Estos detalles importantes se pueden utilizar para ejecutar informes de gestión de políticas sobre políticas que están a punto de vencer o políticas que requieren aprobación.
Su repositorio central servirá como una única fuente de verdad y significará que tiene capacidades de búsqueda intuitivas y acceso rápido a toda su colección de políticas en una sola ubicación. Y al utilizar una solución de gestión de políticas en línea, puede decir adiós a los problemas de control de versiones, ya que el personal puede ver el historial completo del documento y cualquier cambio o acción pendiente en línea.
Sin una solución de software de gestión de políticas central, corre el riesgo de que se sigan diferentes procedimientos en diferentes partes de su negocio, sin mencionar el riesgo de un control de versiones deficiente con varios departamentos que trabajan con versiones obsoletas de la misma política. Centralizar su almacenamiento de documentos reduce en gran medida estos riesgos, ya que proporciona una única fuente de verdad para que todos trabajen, lo que garantiza que todas las funciones relevantes tengan acceso inmediato a las últimas políticas y procedimientos, lo que facilita significativamente la gestión del cumplimiento interno de las políticas para sus equipos.
2. Aprobaciones automatizadas de flujo de trabajo
Cuando se utiliza una herramienta GRC para la gestión de políticas, cuando se carga una política, se agrega automáticamente a un flujo de trabajo de aprobación. Por lo tanto, cuando un creador carga una política en el sistema, se enviarán notificaciones automáticas a cualquier aprobador de la política para que revise y autorice la política. Cualquier modificación se puede enviar al creador y la política puede iniciar el flujo de trabajo de aprobación nuevamente, si las políticas se aprueban, se publican y se distribuyen automáticamente. Esto crea un proceso de aprobación de políticas rápido y eficiente. El sistema incluso se puede vincular a su directorio activo de personal, ubicaciones y departamentos, lo que garantiza que los flujos de trabajo y los propietarios de la aprobación de políticas estén siempre actualizados.
Cuando se utilizan procesos manuales de gestión de políticas, la falta de visibilidad del estado de la política provoca retrasos. Al automatizar estos flujos de trabajo, su equipo de gestión de políticas puede obtener información inmediata sobre las actualizaciones de políticas a través de paneles en tiempo real. Este enfoque automatizado les permite centrar su tiempo en actividades dirigidas por el valor para mejorar y proteger aún más el negocio, en lugar de dedicar tiempo a la administración persiguiendo correos electrónicos y acciones vencidas.
3. Declaraciones en línea
Una parte importante del rol de su administrador de políticas probablemente implica perseguir al personal aplicable para obtener declaraciones para proporcionar pruebas de que los empleados han leído y aceptado las políticas relevantes. Las herramientas de gestión de políticas en línea facilitan esto. Una vez que una política completa el flujo de trabajo de aprobación en línea y se publica, la política se activa en el sistema y se pueden configurar flujos de trabajo para enviar automáticamente correos electrónicos al personal aplicable para que puedan leer y aceptar la política en línea. Si no lo hacen antes de la fecha límite requerida, el sistema enviará automáticamente recordatorios por correo electrónico. La administración puede obtener fácilmente visibilidad de cuántos empleados han leído y atestiguado la política y quiénes son. Esta evidencia se puede utilizar en tribunales de empleados donde el personal incumple una política en particular.
Llevando la gestión de políticas a otro nivel
Las políticas se crean por una razón. Muchas políticas se elaboran en torno a los requisitos de cumplimiento y las obligaciones legales; otras se crean para mitigar el riesgo o implementar procesos específicos o inculcar los valores de la empresa. Algunas incluso se crean para ayudar a una empresa a trabajar para lograr sus metas y objetivos estratégicos. Por lo tanto, tener una solución de gestión de políticas que esté integrada o que pueda integrarse con su solución GRC es cada vez más popular. La combinación de todas las ventajas de una solución de gestión de documentos dedicada con una herramienta GRC mantiene todo bajo un mismo techo y permite una asignación compleja para comprender los vínculos entre cada función. Por lo tanto, cuando un riesgo se vuelve crítico o entra en vigor una nueva regulación, se pueden crear o modificar políticas para abordar los nuevos requisitos.
Los líderes empresariales pueden romper con los silos operativos vinculando los datos de gestión de políticas con los registros de riesgos, las bibliotecas de obligaciones de cumplimiento, los portales de gestión de incidentes y los planes estratégicos para garantizar que las políticas estén siempre actualizadas con las últimas leyes y directrices.
Una herramienta de gestión de políticas dedicada y bien desarrollada o una solución de gestión de políticas GRC integrada permite realizar cambios en las políticas y comunicarlos claramente. Los informes y paneles en tiempo real le mantienen organizado al prepararse para una auditoría, minimizando el riesgo de incumplimiento.
La solución de gestión de políticas de Riskonnect permite a las organizaciones acceder a plantillas de creación de políticas y establecer una biblioteca de políticas en línea que capture información clave sobre el propietario de la política, la fecha de vencimiento, la fase de aprobación y el número de versión. Permite a las empresas automatizar todo el ciclo de vida de la gestión de políticas, incluyendo la creación de políticas, el control de versiones, la aprobación, la publicación y la certificación, creando un registro completo para fines de auditoría y tribunales de empleados. La solución forma parte de nuestra más amplia plataforma GRC, lo que permite a las organizaciones vincular la gestión de políticas con la gestión de riesgos, el cumplimiento y la planificación estratégica para seguir madurando sus procesos actuales.
A nuestro equipo le encantaría conocer sus retos en la gestión de políticas y las prioridades más amplias de GRC, y explorar cómo la tecnología puede ayudarle a alcanzar el éxito. Si está buscando una herramienta integral para gestionar sus políticas como parte del panorama más amplio de riesgo y cumplimiento, póngase en contacto con nuestro equipo hoy mismo y programe una demostración o descubra más sobre la gestión de políticas en nuestro sitio web.
