Muchas organizaciones están adoptando tecnología de gobierno, riesgo y cumplimiento (GRC) para ayudar a gestionar sus actividades en estas áreas. Este cambio sigue estando impulsado por un panorama normativo en constante evolución y un mundo cada vez más conectado. Las soluciones GRC automatizan la recopilación, correlación y notificación de información para ofrecer una visión más amplia no sólo de los resultados de la empresa, sino también de su cumplimiento de la ley y de la gestión del riesgo. Una vez que has pasado por el arduo proceso de justificar la inversión en soluciones GRC y has elegido las plataformas disponibles que mejor se adaptan a tus necesidades, la parte de la implantación propiamente dicha viene con su propio conjunto de retos que deben considerarse de antemano para que las cosas vayan lo mejor posible y causen el menor trastorno posible. Sigue leyendo para conocer los 10 retos organizativos más comunes de la implantación de una solución GRC y empieza a planificar ya cómo abordarlos.

  1. Determinar las personas clave y sus funciones al principio del proceso de GRC.
    Esperar a definir el equipo y las funciones puede provocar retrasos, repetición del trabajo y frustración, ya que una persona nueva puede tener una perspectiva o un objetivo diferentes. Esto es especialmente importante con los patrocinadores, ya que suelen establecer la agenda de alto nivel.
  2. Saber que la comunicación es clave.
    Puede parecer trillado e innecesario explicarlo, pero suele ser un área en la que el programa de GRC descarrila. Cuando pienses en la comunicación, ten en cuenta:

    • Partes interesadas internas para la planificación, el progreso, la orientación, la toma de decisiones, etc.
    • Compañeros-para orientación, cambios, retos, mejores prácticas, etc.
    • Equipos de implementación -tanto del programa GRC como de la posible automatización o software- para los requisitos, la visión y los objetivos generales, las partes interesadas, etc.

     

  3. Utilizar los marcos y directrices disponibles como prueba de fuego para tu programa.
    Marcos y directrices como COSO, COBIT, NIST, ITIL, UCF, etc., pueden constituir un excelente punto de partida, así como un sólido punto de contacto a lo largo de tu proceso de maduración, para asegurarte de que tienes en cuenta todos los aspectos de un programa de GRC.
  4. Crear una red de colegas en tu campo de especialización y en tu sector.
    Ponte en contacto con ellos para conocer las mejores prácticas, los retos, los cambios, las orientaciones, etc. Es la forma más tangible de asegurarse de que el proceso de GRC que estás creando tiene en cuenta todos los aspectos que deben considerarse.
  5. Pensar que hay que tener un proceso empresarial totalmente maduro para implantar un programa automatizado de GRC.
    No es necesario tener un proceso empresarial totalmente maduro para empezar, pero asegúrate de que tienes un conocimiento básico de lo que quieres que sea el proceso empresarial: el proceso puede madurar con el tiempo, pero un punto de partida sólido evitará repeticiones y frustraciones.
  6. Comprender los procesos, datos, equipos, etc. que ya existen en tu organización.
    A menudo hay áreas de GRC muy sólidas que pueden ser un gran punto de partida para desarrollar un programa sólido. Por ejemplo, Auditoría Interna, SOX, GRC de TI y otras tienen procesos empresariales maduros con taxonomías de datos definidas que pueden hacer que un programa de GRC pase de la infancia a la madurez mucho más rápidamente. Además, como sectores verticales que cuentan con una sólida orientación y liderazgo en el desarrollo de programas de GRC, pueden ser firmes defensores en una organización y contribuir al éxito de la creación general de GRC.
  7. Empieza por el resultado final deseado y ve hacia atrás.
    Saber qué informes y cuadros de mando quieres te ayuda a orientar la información que necesitas captar y cómo debe estructurarse para llegar al resultado final deseado.
  8. Comunicar claramente los requisitos en la RFP o en el ciclo de ventas.
    Si decides automatizar o implantar un software para apoyar tu proceso de GRC, es vital que te asegures de que entiendes exactamente a qué se compromete el SOW y qué excluye. Si algo no te queda claro, presiona en esa área para obtener claridad. Comprender lo que se proporciona y lo que se excluye es clave para que el sistema te funcione bien en general, así como para tener confianza en que el producto satisfará tus necesidades en lo que se refiere a la funcionalidad básica prevista.
  9. Pensar primero en el panorama general.
    Si estás automatizando o implantando software para apoyar tu proceso de GRC, piensa en el panorama general al principio y luego trabaja para conseguirlo. Es razonable empezar poco a poco e ir construyendo el programa GRC completo, pero al construir los procesos iniciales asegúrate de que se tiene en cuenta el resultado final en las decisiones que se tomen. No hacerlo puede crear bloqueos involuntarios en el proceso y dar lugar a una ruptura infructuosa de las verticales organizativas que se pretendía.
  10. Escucha los consejos y la orientación de los que te rodean.
    Ya proceda de la dirección de la organización, de los compañeros, de fuentes externas o de los equipos de implantación al automatizar, es un componente clave para el éxito de la implantación. A continuación, puedes tomar la información que has recibido y mirarla a través de la lente de lo que intentas conseguir. Mantente abierto a las perspectivas externas, pero asegúrate de que están relacionadas con los objetivos que persigues.

Emprender la implantación de una o varias soluciones de GRC no es tarea fácil, y es probable que surjan obstáculos imprevistos en el camino. Sin embargo, si conoces de antemano algunos de los retos más probables y creas planes proactivos para afrontarlos, estarás mejor preparado para que tu organización tenga éxito.