Oímos constantemente el término “GRC integrado”. Pero, ¿cómo pueden las empresas integrar realmente los diferentes aspectos de la gobernanza, el riesgo y el cumplimiento normativo, y cuáles son sus beneficios?
En este blog exploramos todos los diferentes aspectos de un programa de GRC, desde los riesgos, los controles y la gestión de incidentes hasta el cumplimiento normativo, las auditorías e incluso la planificación estratégica, y explicamos cómo se pueden integrar estas funciones para proporcionar una visión más profunda del rendimiento operativo y la exposición al riesgo.
Como parte de su programa de GRC, la mayoría de las empresas suelen tener las siguientes funciones:
Gestión de riesgos: La mayoría de las organizaciones probablemente tendrán un programa de gestión de riesgos. Tendrán un registro de riesgos y trabajarán para mantener esos niveles de riesgo dentro de un apetito de riesgo estableciendo controles para reducir y controlar el riesgo en áreas de alto riesgo. Realizarán evaluaciones de riesgo periódicas y realizarán un seguimiento de los datos transaccionales y operativos para supervisar los niveles de riesgo. La mayoría de las empresas más grandes tendrán múltiples registros de riesgos para gestionar diferentes áreas de riesgo, como el riesgo operativo, el riesgo estratégico, el riesgo de cumplimiento normativo, el riesgo cibernético y de TI, y el riesgo de terceros, y ejecutarán informes periódicos sobre la exposición al riesgo.
Controles: Como parte de su programa de gestión de riesgos, la mayoría de las empresas tendrán una serie de controles para mitigar el riesgo o mantenerlo dentro de un nivel tolerable. Los controles se presentan de muchas formas, pueden ser una política o un procedimiento, pueden ser un control de seguridad periódico, pueden ser la implementación de equipos de seguridad, protección o TI. Las empresas deben mantener un registro de control activo y llevar a cabo comprobaciones y pruebas de control periódicas para garantizar que sus controles tengan el efecto deseado.
Gestión de incidentes: Es probable que la mayoría de las organizaciones tengan un proceso de notificación de incidentes para que los empleados de todos los niveles registren diferentes tipos de accidentes, incidentes, problemas y eventos. Algunas empresas tendrán diferentes herramientas o procesos para registrar diferentes tipos de incidentes en función de su categoría y ruta de escalada. Por ejemplo, los accidentes y los incidentes de salud y seguridad pueden notificarse mediante un proceso, los incidentes de RR. HH., como las revelaciones, las denuncias de irregularidades y las infracciones de políticas, pueden notificarse de una manera diferente, y los incidentes de seguridad de TI y el tiempo de inactividad operativa pueden tener un tercer proceso. La mayoría de las organizaciones tienen un proceso claro para que el personal registre cada tipo de incidente, que luego se clasifican y escalan en consecuencia. El proceso de resolución debe estar totalmente documentado hasta que se resuelva cada caso de incidente.
Gestión del cumplimiento normativo: La mayoría de las organizaciones tienen una lista de diferentes obligaciones que deben cumplir. Esto incluye reglamentos, normas, legislación, políticas y documentos de procedimientos operativos que deben supervisarse para garantizar su cumplimiento. Las empresas suelen crear un “registro de obligaciones” de todos sus requisitos e implementar diferentes procedimientos, procesos y políticas para garantizar el cumplimiento. Las operaciones deben supervisarse periódicamente y deben llevarse a cabo comprobaciones frecuentes para garantizar el cumplimiento. El cumplimiento se extiende más allá de una lista de obligaciones, las empresas también deben establecer procesos claros para los conflictos de intereses, regalos y atenciones, soborno y corrupción, la lucha contra el blanqueo de capitales, las comprobaciones de sanciones y la manipulación de mercancías peligrosas y productos químicos peligrosos.
Gestión de políticas: La mayoría de las empresas tendrán una biblioteca de todas sus políticas actuales almacenadas en un repositorio central donde el personal pueda leer y dar fe de la política. También tendrán procesos para realizar un seguimiento de las revisiones de políticas y las fechas de vencimiento. También debe haber procesos claramente definidos para crear una política y obtener aprobaciones y firmas, así como para modificar las políticas, incluido el control de versiones y la documentación de las modificaciones para garantizar que todas las políticas estén actualizadas y satisfagan las necesidades cambiantes de la organización.
Auditorías e inspecciones: La mayoría de las empresas realizan auditorías periódicas, que pueden ser auditorías externas para obtener la certificación de determinadas normas o cumplir con las regulaciones, o pueden ser auditorías o inspecciones internas para garantizar que se siguen los procesos y las políticas. Esto también podría incluir comprobaciones de seguridad periódicas o comprobaciones de equipos que deben inspeccionarse y documentarse completamente. Las auditorías deben planificarse y programarse por adelantado, y los resultados de la auditoría deben registrarse de forma coherente para proporcionar seguridad a los auditores y reguladores. Los flujos de trabajo y las rutas de escalada deben estar claramente definidos para abordar las no conformidades y los fallos de auditoría para garantizar que la empresa siga cumpliendo con las normas.
Gestión de riesgos cibernéticos y de TI: La mayoría de las empresas tienen un proceso designado para gestionar los riesgos cibernéticos y de TI. Por lo general, tendrán un registro de riesgos cibernéticos y una serie de controles para reducir el riesgo cibernético. Tendrán una biblioteca de políticas de TI y capacitación para guiar a los empleados sobre el uso seguro de los equipos y la protección de datos. A menudo tendrán un proceso de notificación de incidentes de TI o un sistema de tickets separado para resolver y escalar los incidentes relacionados con TI. El equipo de TI también tendrá un proceso para la gestión de activos de TI y el seguimiento de licencias para supervisar el envejecimiento de los equipos y el vencimiento de las licencias, garantizando que los equipos y sistemas sean adecuados para su propósito y funcionen de forma segura.
Salud y seguridad: Muchas empresas gestionan la salud y la seguridad como parte de su programa de GRC. El aspecto de la salud y la seguridad generalmente implica la captura y resolución de accidentes e incidentes del personal, la gestión de los riesgos de salud y seguridad con los controles pertinentes y el mantenimiento de una biblioteca actualizada de políticas de salud y seguridad. También puede implicar la documentación de comprobaciones e inspecciones de seguridad periódicas, la gestión de contratistas y el mantenimiento de bibliotecas de activos para garantizar que los equipos sean seguros.
Planificación estratégica: La mayoría de los programas de GRC se basan en las metas y objetivos de las organizaciones, por lo tanto, la planificación estratégica a menudo se considera parte del programa general de GRC de una organización. Las empresas deben definir sus metas y trazar su estrategia para lograr sus objetivos. La estrategia debe dividirse en proyectos, tareas y acciones más pequeños y asignarse a diferentes partes interesadas en todo el negocio para su finalización. Cada tarea debe tener plazos, presupuestos y propiedad claros y, a medida que se completan las tareas, esto indica que la estrategia está progresando y puede pasar a la siguiente etapa. El éxito de la estrategia también debe medirse mapeando la estrategia con el rendimiento operativo, proporcionando métricas claras sobre si la estrategia está funcionando y qué puede ser necesario cambiar. Los riesgos estratégicos también deben gestionarse, y los datos de riesgo deben utilizarse para permitir la toma de riesgos calculada para lograr la estrategia.
Gestión de riesgos de terceros: Las empresas a menudo trabajan con toda una red de proveedores, contratistas y proveedores de servicios para agilizar sus operaciones y suministrar bienes y materias primas, por lo tanto, los riesgos asociados con los proveedores y terceros deben gestionarse cuidadosamente. La mayoría de las empresas tendrán un registro de proveedores, realizarán evaluaciones de riesgo de proveedores periódicas, realizarán un seguimiento del rendimiento en comparación con los SLA y los KPI, y definirán procesos claros para la gestión de contratos y la incorporación. Muchos también utilizan proveedores de inteligencia de riesgos de terceros para comprender el riesgo de los proveedores en términos de estabilidad financiera, violaciones de cumplimiento, seguridad de datos, confiabilidad y enjuiciamientos recientes.
La mayoría de las organizaciones probablemente tendrán procesos para todas estas cosas, algunos podrían gestionarse en la misma plataforma, pero es probable que muchas empresas estén utilizando una serie de aplicaciones o sistemas diferentes y una combinación de herramientas internas, o incluso hojas de cálculo y procesos manuales para gestionar estas importantes funciones. Cuando estos procesos se gestionan en silos utilizando diferentes procesos, se vuelven difíciles debido a la falta de integración, la gobernanza de datos y la presentación de informes cohesivos. Pero cuando todos estos procesos se gestionan juntos de forma integrada utilizando una plataforma de software de GRC holística, los beneficios son sustanciales.
Riesgo y estrategia: Integrar la planificación estratégica y la gestión de riesgos es vital para dirigir un negocio exitoso. Si no sabe cuáles son su estrategia y sus objetivos, ¿cómo puede gestionar los riesgos que podrían descarrilar su estrategia o asumir riesgos calculados en la búsqueda de sus objetivos estratégicos? Un programa de gestión de riesgos debe comenzar con el análisis de la estrategia de las organizaciones y la gestión de los riesgos en consecuencia. Los riesgos deben asignarse a cada objetivo estratégico y a los proyectos y tareas asociados, y cuando los niveles de riesgo son altos, el impacto en la estrategia debe evaluarse y gestionarse para mantener las cosas en el buen camino. Al centralizar los datos, los responsables de la toma de decisiones pueden evaluar mejor los riesgos en el contexto de los planes estratégicos y los riesgos asociados, lo que lleva a decisiones más informadas y proactivas. Al integrar la gestión de riesgos con la planificación estratégica y el rendimiento empresarial, las empresas pueden asignar el presupuesto y los recursos en las áreas correctas para reducir el riesgo estratégico y garantizar el éxito.
Riesgo y controles: Casi no hace falta decir que todos los riesgos deben asignarse al “control” pertinente que se establece para mitigar el riesgo. Algunos riesgos pueden tener múltiples controles, y algunos controles pueden estar diseñados para reducir múltiples riesgos, por lo que es importante que esta asignación se pueda hacer para comprender el impacto del control en los niveles de riesgo asociados.
Riesgo e incidente: Su registro de riesgos debe estar vinculado a su registro de incidentes. Esto significa que en las áreas donde hay muchos incidentes, estos se pueden agregar al registro de riesgos y la posibilidad de que el incidente se repita se puede reducir con los controles pertinentes. También significa que los riesgos que se convierten en incidentes reales se pueden automatizar en el registro de riesgos. Esta asignación entre incidentes, riesgos y controles permite una gran cantidad de resultados de informes que permiten a las empresas asegurarse de que están asignando suficiente presupuesto y recursos para reducir los riesgos e incidentes que están teniendo el mayor impacto y causando la mayor cantidad de problemas.
Cumplimiento y auditoría: El cumplimiento y la auditoría son dos áreas que están estrechamente vinculadas, por ejemplo, puede realizar comprobaciones de cumplimiento con ciertas normas y regulaciones de forma regular, pero también tener una auditoría externa anual sobre los mismos criterios. Al integrar estas dos áreas en una plataforma de GRC, sus datos de supervisión de cumplimiento regulares se pueden utilizar para corroborar su auditoría anual. La integración de los procesos de cumplimiento y auditoría en una plataforma de GRC reduce la duplicación de esfuerzos, agiliza los flujos de trabajo y minimiza las tareas manuales, lo que ahorra tiempo y recursos y mejora la visibilidad y la transparencia.
Cumplimiento y riesgo: El riesgo de incumplimiento es un gran riesgo en sí mismo, por eso muchas empresas optan por integrar sus funciones de gestión de riesgos y cumplimiento. Permite comprender el efecto del cumplimiento, en términos del impacto en el negocio, y permite mitigar el riesgo de cumplimiento con los controles y políticas pertinentes. Esto garantiza que la organización esté totalmente certificada para hacer negocios, proporcionando la seguridad de que se están siguiendo los procesos y las políticas y minimizando el riesgo como resultado.
Salud y seguridad: Incidentes, riesgo y política: Los programas de salud y seguridad a menudo implican: un proceso de notificación de incidentes, la gestión de riesgos relacionados con la salud y la seguridad con controles, garantizar el cumplimiento de las directrices de salud y seguridad y la realización de diversas comprobaciones de seguridad y auditorías de equipos. Todas estas áreas deben integrarse para proporcionar una visión holística del estado y los problemas de salud y seguridad en toda la empresa.
Con todas estas diferentes dependencias, correlaciones y oportunidades de presentación de informes, es difícil creer que tantas empresas todavía no integren todas estas áreas. Por supuesto, para integrar estas funciones de una manera significativa, las empresas deben adoptar una plataforma de GRC integrada. Estas soluciones de software permiten a las empresas centralizar todos sus procesos de GRC en una solución holística que ofrece un marco de mejores prácticas y flujos de trabajo, plantillas, formularios y resultados de informes automatizados listos para usar para mapear e integrar cada proceso e impulsar informes e información valiosos para respaldar la toma de decisiones.
Puede sonar desalentador, pero estas plataformas a menudo son más fáciles de implementar de lo que piensa. Las empresas pueden comenzar poco a poco con áreas como riesgos, controles e incidentes y agregar más funcionalidad en el futuro a medida que expanden la solución con el tiempo. Este enfoque por etapas garantiza una interrupción mínima para la organización durante la implementación. Estas plataformas han sido diseñadas específicamente para mapear y alinear las funciones de GRC y producir resultados de informes valiosos para respaldar la toma de decisiones comerciales y la asignación de recursos y presupuestos. Sus “datos de GRC” existentes se pueden cargar en la plataforma para darle una base desde la que trabajar, y el enfoque multiusuario significa que el personal de todos los niveles puede usar la plataforma para llevar a cabo tareas rutinarias como evaluaciones de riesgos y comprobaciones de control con todos los datos que se alimentan directamente en la plataforma. Estas plataformas se pueden integrar con sus otros sistemas y fuentes de datos para utilizar datos transaccionales y operativos en vivo para supervisar los niveles de riesgo y comprender el impacto del riesgo, el cumplimiento y los incidentes en el rendimiento empresarial.
Si está interesado en obtener más información sobre cómo integrar y automatizar sus procesos de GRC utilizando el software de GRC, póngase en contacto con Riskonnect para obtener una demostración hoy mismo.
