El software de gestión de riesgos empresariales (ERM) ayuda a las organizaciones a identificar los riesgos en los sistemas de información y las tecnologías críticas, de modo que la organización pueda elaborar planes para hacer frente a esos riesgos, documentar la respuesta cuando ocurra algo y mejorar el proceso de respuesta.
Para ello, el software de ERM debe ser capaz de realizar varias tareas críticas. Aquí tienes 7 cosas que debe hacer tu software de ERM.
1. Gestión de la función de auditoría
Tu ERM debe gestionar todas tus funciones de auditoría en un único lugar. Esto incluye varias partes:
- Planificación de auditorías: ¿Cuándo fue tu última auditoría? ¿Para cuándo la próxima? ¿Cuál es la prioridad y el objetivo de la auditoría?
- Ejecución de auditorías: Deberías ser capaz de gestionar y llevar a cabo el trabajo de campo de las auditorías en un solo lugar. También deberías ser capaz de hacer un seguimiento tanto individual como global del programa de auditoría, y vincular los riesgos relacionados y sus controles a cada auditoría.
- Resultados de las auditorías: Tu ERM debe contener y poder mostrar todos los datos de los informes de las auditorías, junto con las acciones recomendadas tras cada auditoría. Además, debes poder asignar y realizar un seguimiento de las acciones emprendidas.
En resumen, tu ERM debe permitirte contener y gestionar todas tus funciones de auditoría bajo un mismo paraguas.
2. Evaluación y gestión completa del riesgo
Esencialmente, tu ERM es tu hogar para todo lo relacionado con la evaluación y gestión de riesgos, desde determinar los riesgos aceptables y las operaciones dentro de ellos hasta la gobernanza del riesgo.
El primer paso es identificar y controlar los riesgos, manteniendo al mismo tiempo todos los datos en un formato auditable (véase el punto anterior). Una vez identificados los riesgos, puedes gestionarlos y controlarlos mediante tu software de ERM. Cuando se produzca un suceso, puedes documentar la secuencia de acontecimientos y la respuesta al mismo.
Todo esto funciona conjuntamente para ayudarte a crear informes que permitan tomar decisiones de gestión de riesgos basadas en datos, permitiendo una vez más evaluar y auditar esos riesgos.
3. Preparación para el cumplimiento
El cumplimiento contiene dos elementos diferentes: el cumplimiento interno y el externo. El cumplimiento interno incluye tus propias políticas, procedimientos y normas que impones a tus empleados y que esperas que cumplan. Esto minimiza tanto tu riesgo interno como el riesgo de los auditores externos o de acontecimientos que puedan dar lugar a litigios.
Por supuesto, a menudo una de las razones de las normas y políticas internas es cumplir la normativa externa. Tu ERM contiene ambas cosas: las políticas internas que tienes en vigor y los informes que necesitas para mostrar a los reguladores externos los pasos que has dado hacia el cumplimiento.
Ambos trabajan juntos para mitigar tanto el riesgo como la responsabilidad. También reducen el riesgo financiero que conlleva el incumplimiento de los requisitos legales establecidos por organismos u organizaciones externas.
Tu ERM se encarga de las auditorías, las evaluaciones de riesgos, el cumplimiento y mucho más.
4. Gobernanza
Cuando se trata de gobernar el riesgo, tus juntas y comités de riesgos necesitan un par de cosas: datos y análisis de esos datos. Tu ERM recopila datos constantemente y debe tenerlos listos para la junta y los informes en todo momento. Esto ahorra tiempo y dinero, y crea eficacia en la gobernanza.
5. Seguridad de la información
Cuando se trata de seguridad de la información, hay normas que deben cumplirse, incluidas las normas ISO, pero también el cumplimiento de normativas sobre privacidad como el GDPR, la Ley de Protección de la Privacidad del Consumidor de California y la reciente legislación promulgada en Carolina del Norte. La mayoría del personal de seguridad informática considera que la normativa federal no está muy lejos.
Tu ERM te ayuda con la gestión de la reputación, evitando la vergüenza y la mala publicidad de una violación de datos, pero también de las posibles sanciones económicas que conlleva. Mantener a salvo los datos de tus consumidores y clientes es una de tus mayores prioridades en la gestión de riesgos.
6. SOX
Desde la LEY SARBANES-OXLEY DE 2002, la SOX forma parte integrante de la gestión del riesgo financiero. Es importante que mantengas un cierto nivel de transparencia en lo que respecta a tu contabilidad. Tu ERM debe incluir el seguimiento del progreso de las pruebas y controles SOX.
También debe incluir un flujo de trabajo personalizable y puntos de comprobación de aprobación para controles y programas. Cualquier movimiento en la IM relevante para el riesgo da lugar a una alerta que permite a tu equipo tomar medidas para mantener el perfil de riesgo dentro de los límites que hayas establecido.
7. Continuidad empresarial y resistencia operativa
Para cumplir los requisitos de las normas ISO 22301y PS 21/3 y mantener tu empresa funcionando correctamente y con un riesgo reducido, tu ERM debe tener un plan de continuidad de negocio (BCP) y un componente de resiliencia operativa. La clave está en identificar los Productos y Servicios clave que necesitas proteger. Tendrás que determinar cuáles de ellos se consideran Servicios Empresariales Importantes (SSI) desde el punto de vista normativo, y los criterios de evaluación deben incorporarse a tu ERM.
Las métricas clave, como el Periodo Máximo Tolerable de Interrupción (PMPI) y el Objetivo Mínimo de Continuidad de Negocio (OMCO), también figuran en tu ERM, y los datos proporcionados te permiten identificar y evaluar los riesgos que amenazan la disponibilidad de los recursos que necesita tu empresa.
Tu ERM también debe permitir la autoevaluación de todos los componentes de tu marco de resiliencia operativa para su consideración por el órgano de gobierno de tu organización.
Tu ERM hace mucho por ti y por tu empresa, y cuanto más automatizado esté, mayor será su poder para proteger tu negocio y mantenerlo funcionando sin problemas y en el lado correcto de las normativas, los requisitos y el riesgo. Es una herramienta esencial en tu conjunto de gestión de riesgos.
