Introducción
Debido al manejo de información confidencial y al tratamiento de datos personales, las organizaciones están obligadas a seguir normas complejas como ISO (International Organization for Standardization), HIPAA (Health Insurance Portability and Accountability Act) o el Reglamento General de Protección de Datos (GDPR). Verificar el cumplimiento de estas normas puede suponer un reto para las organizaciones, especialmente en procesos que no siguen un modelo de proceso empresarial estructurado. Por ejemplo, la solicitud y obtención de licencias municipales para la creación de nuevas empresas, donde la diversidad de requisitos, la coordinación entre entidades y la variabilidad según la ubicación representan importantes retos de modelización. La coordinación eficaz entre los equipos de una organización es esencial para garantizar que los procesos empresariales cumplen las normas establecidas y evitar posibles lagunas de cumplimiento que podrían dar lugar a sanciones legales o dañar la reputación de la organización.
Otro escenario en el que las organizaciones pueden necesitar verificar el cumplimiento de los procesos empresariales es para garantizar el cumplimiento de las políticas internas de la organización. Estas políticas pueden cubrir una amplia gama de áreas, como la seguridad de la información, la protección de la privacidad de empleados y clientes, la gestión de riesgos, el control interno, entre otros aspectos clave para el funcionamiento correcto y ético de la empresa.
Para hacer frente a estos retos, las organizaciones ponen en marcha diversos mecanismos y herramientas, como el Control del Cumplimiento, que se refiere a las medidas, normas o procedimientos establecidos para garantizar el cumplimiento de los requisitos legales, reglamentarios o internos aplicables. Por ejemplo, la revisión mensual de los registros financieros por un auditor externo para garantizar la transparencia y exactitud de la información contable de una empresa.
Un recurso clave en este proceso es el Catálogo de Controles, una lista estructurada y detallada de los controles de conformidad que debe cumplir la organización. Este catálogo identifica y describe cada control específico, proporcionando información sobre su propósito, alcance, responsabilidades asociadas y criterios de cumplimiento. Por ejemplo, podría incluir controles relacionados con la protección de datos, la seguridad informática y la gestión de riesgos.
Además, existen varios tipos de Compliance Checking que hacen referencia a las diferentes modalidades de evaluación y verificación del cumplimiento de los controles establecidos. Estas modalidades incluyen el Comprobación de Conformidad en Tiempo de Diseño, que se realiza antes de la ejecución de los procesos para garantizar que cumplen las normas establecidas, y el Comprobación de Conformidad en Tiempo de Ejecución, que se realiza durante la ejecución para supervisar y corregir posibles desviaciones en tiempo real.
Para facilitar y optimizar estos procesos, las organizaciones pueden utilizar un Sistema de Gestión de la Conformidad, una plataforma o herramienta que automatiza la gestión y verificación de los catálogos de control. Este sistema permite definir, implementar, monitorizar y reportar los controles de cumplimiento, logrando una gestión más eficiente y eficaz del cumplimiento normativo.
En línea con la importancia de garantizar el cumplimiento en los procesos de negocio, varios estudios y artículos han abordado las diferentes fases de verificación dentro del ciclo de vida de estos procesos. En particular, gran parte de esta información se detalla en el artículo «A Mashup-Based Framework for Business Process Compliance Checking» escrito por Cabanillas et. al. En este artículo se define un marco de trabajo basado en mashups para la comprobación anticipada de la conformidad de los procesos de negocio. Estos mashups son flujos de trabajo basados en datos de diferentes fuentes que tienen como objetivo especificar reglas y realizar comprobaciones de cumplimiento de los procesos de negocio en tiempo de diseño y ejecución.