GRC : La Guía Definitiva

¿Qué es la GRC?

La gobernanza, el riesgo y el cumplimiento -conocidos popularmente como GRC- son un conjunto de procesos y procedimientos para ayudar a las organizaciones a alcanzar sus objetivos empresariales, hacer frente a la incertidumbre y actuar con integridad. El propósito básico de la GRC es inculcar buenas prácticas empresariales en el día a día. Aunque no es un concepto nuevo, la GRC ha crecido en estatura a medida que los riesgos se han hecho más numerosos, más complejos y más dañinos.

GRC professionals looking at data on a laptop

El acrónimo GRC fue acuñado hace casi dos décadas por la OCEG como una referencia abreviada a las capacidades críticas que integran el gobierno, la gestión y la garantía del rendimiento, el riesgo y las actividades de cumplimiento.

Hoy en día, la GRC abarca múltiples disciplinas, como la gestión del riesgo empresarial, el cumplimiento, la gestión del riesgo de terceros, la auditoría interna y otras. Aunque cada disciplina tiene sus propias prioridades -y a menudo su propia forma de hacer las cosas-, los líderes de GRC reconocen ahora el poder de compartir datos e inteligencia para obtener mejores resultados y construir una organización más fuerte y resistente.

¿Qué impulsa la necesidad de GRC?

El panorama de riesgos actual está más abarrotado, es más incierto y está más interconectado que nunca. Un riesgo -por ejemplo, un problema de salud y seguridad- puede extenderse a la cadena de suministro, la continuidad empresarial, las relaciones comerciales, la seguridad informática, la productividad de la mano de obra y otros aspectos. Al mismo tiempo, múltiples fuerzas están remodelando el terreno del riesgo, entre ellas:

  • Ritmo y alcance crecientes del cumplimiento normativo
    Prácticamente todas las organizaciones de todos los sectores se enfrentan a un número cada vez mayor y cambiante de normativas que deben cumplir.
  • Acelerar la digitalización de la gestión de riesgos
    Internet de las cosas, terceros, blockchain… cada nuevo punto de acceso añade vulnerabilidad y aumenta el riesgo exponencialmente.
  • Importancia creciente de la gestión de riesgos en la estrategia empresarial
    La gestión de riesgos se considera cada vez más no sólo una función táctica, sino una parte valiosa de la estrategia empresarial.
  • Evolución de la sofisticación de los análisis
    La mejora de los análisis está proporcionando nuevos niveles de conocimiento para las decisiones basadas en datos.

La influencia de las redes sociales, las amenazas constantes de ciberataques y las exigencias de mayor transparencia también están aumentando la presión sobre los ejecutivos y los consejos de administración para que tomen decisiones acertadas sobre el riesgo a un ritmo acelerado y con poco margen de error. Los altos directivos, a su vez, dependen de un número cada vez mayor de partes interesadas de todos los rincones de la organización para identificar, gestionar y reducir el riesgo. Para dirigir la organización hacia el éxito, los líderes necesitan acceder rápidamente a los hechos, y utilizarlos para fundamentar su respuesta. Una estrategia integral de GRC puede allanar el camino, eliminando silos y fomentando la colaboración para una actuación más rápida, precisa y coordinada.

¿Qué significa GRC, en teoría y en la práctica?

Hay tres componentes principales de la GRC:

  • Gobernanza – Alinear los procesos y las acciones con los objetivos empresariales de la organización
  • Riesgo – Identificar y abordar todos los riesgos de la organización
  • Cumplimiento – Garantizar que todas las actividades cumplen los requisitos legales y reglamentarios

En el pasado, las organizaciones solían abordar la gobernanza, el riesgo y el cumplimiento como actividades separadas. Con frecuencia se creaban procesos o sistemas en respuesta a un acontecimiento concreto -por ejemplo, una nueva normativa, un litigio, una violación de datos o un hallazgo de una auditoría-, sin pensar apenas en cómo funcionaba dentro del conjunto. El resultado era una maraña de ineficacias, redundancias e imprecisiones, entre otras:

  • Falta de visibilidad de todo el panorama de riesgos
  • Acciones conflictivas
  • Complejidad innecesaria
  • Incapacidad para evaluar los efectos en cascada del riesgo

La realidad es que hay mucho solapamiento entre la gobernanza, el riesgo y el cumplimiento. Cada una de las tres disciplinas crea información de valor para las otras dos, y las tres afectan a las mismas tecnologías, personas, procesos e información. Una organización, por ejemplo, puede estar sujeta a una nueva normativa sobre privacidad de datos (una actividad de cumplimiento), al tiempo que se somete a determinados controles internos de protección de datos (una actividad de gobernanza), y ambas contribuyen a mitigar el ciberriesgo (una actividad de gestión del riesgo). Cuando las tres disciplinas de la GRC se gestionan por separado, se produce una importante duplicación de tareas. Varios equipos acaban pasando horas recopilando los mismos datos, y horas más desenredando hilos de correo electrónico y hojas de cálculo sólo para empezar el análisis. Y lo que es más perjudicial, los procesos desconectados y la falta de transparencia dejan a la organización ciega ante las percepciones y las interrelaciones entre riesgos, socavando todo el sistema al permitir que pasen desapercibidas las lagunas y redundancias de los controles. Los equipos aislados tampoco comprenden cómo influye su ámbito particular en la posición de riesgo de la empresa en su conjunto o en su éxito general. En resumen, gestionar la GRC en silos separados supone mucho esfuerzo adicional, y ese esfuerzo produce muy poca recompensa. Sin una visión integrada de todas las actividades relacionadas con la GRC, es casi imposible identificar problemas e incoherencias. Es fácil que un riesgo perjudicial pase desapercibido y no se aborde porque no has podido calibrar todo su impacto hasta que ha sido demasiado tarde.

Obtén más información sobre Cómo transformar el cumplimiento de Check-the-Box a Champion aquí.

Cómo evaluar la madurez de tu GRC

Prácticamente todas las organizaciones participan de algún modo en la gestión de riesgos, aunque el «sistema» de gestión de riesgos sea incipiente. No hay una única forma correcta de gestionar el riesgo y el cumplimiento, pero si tu sistema actual no puede seguir el ritmo de las cambiantes necesidades empresariales, puede que haya llegado el momento de reevaluar tu enfoque. Incluso un sistema de gestión de riesgos de primera clase puede tener margen de mejora, dado el entorno de riesgo en constante cambio. Utilizar un modelo de madurez del riesgo que evalúe tu posición en GRC es una forma excelente de identificar dónde te encuentras ahora. Luego puedes comparar tu estado actual con el lugar donde quieres estar, y evaluarlo frente al valor y el coste de una mayor inversión en la gestión del riesgo. Cuanto más maduro sea tu programa de GRC, más eficaz serás a la hora de tomar decisiones, asumir los riesgos adecuados y lograr mejores resultados para la organización.

¿En qué punto del continuo se encuentra tu organización?

Nivel de madurez Descripción Atributos clave
Una Ad hoc La gestión del riesgo no está documentada, es cambiante y depende de heroicidades individuales.
Dos Preliminar El riesgo se define de diferentes maneras y se gestiona en silos. Es poco probable que la disciplina del proceso sea rigurosa.
Tres Definido Existe un marco común de evaluación y respuesta a los riesgos. Se proporciona una visión del riesgo en toda la organización a la dirección ejecutiva y al consejo en forma de lista de riesgos «principales». Se aplican planes de acción en respuesta a los riesgos de alta prioridad.
Cuatro Integrado Las actividades de GRC se coordinan en todas las áreas de negocio. Se utilizan herramientas y procesos comunes de gestión de riesgos cuando procede, con supervisión, medición e información de riesgos en toda la empresa. Se analizan respuestas alternativas con planificación de escenarios y otras técnicas, como la simulación Monte Carlo. Existen métricas de proceso. Pero se sigue haciendo hincapié en la gestión de una lista de riesgos. El debate sobre el riesgo en el comité ejecutivo y el consejo de administración está separado del debate sobre la estrategia y el rendimiento.
Cinco Optimizado El enfoque pasa de gestionar una lista de riesgos fuera del contexto de los objetivos de la empresa a gestionar para la consecución con éxito de los objetivos. La consideración de lo que podría ocurrir está integrada en la planificación estratégica, la asignación de capital y otros procesos, así como en la toma de decisiones estratégicas y tácticas diarias. Existe un nivel razonable de seguridad de que los responsables de la toma de decisiones asumen el nivel adecuado de los riesgos correctos necesarios para el éxito y no sólo para evitar el fracaso. Existen sistemas de alerta temprana para notificar al consejo y a la dirección tanto los riesgos específicos que superan los umbrales establecidos de apetito de riesgo o capacidad de riesgo, como aquellos en los que la probabilidad de alcanzar los objetivos de la empresa es menos que aceptable. Los informes a la dirección y al consejo integran la información sobre el rendimiento (dónde estamos ahora) y el riesgo (qué podría ocurrir) para proyectar la probabilidad de alcanzar cada objetivo empresarial. El debate sobre el riesgo en la alta dirección y el consejo (lo que podría ocurrir) no está separado del debate sobre la estrategia y los resultados.

Cómo hacer GRC correctamente

Una GRC eficaz establece los procesos y sistemas que permiten tomar decisiones conscientes del riesgo a todos los niveles. Se trata de dar a todas las partes interesadas acceso a los mismos datos de alta calidad en tiempo real para que puedan compartir conocimientos y colaborar en las acciones. Un enfoque GRC sobresaliente:

  • Define un vocabulario común para todas las disciplinas.
  • Establece una única fuente de verdad.
  • Normaliza procesos, prácticas y políticas.
  • Facilita la comunicación y la colaboración.

Aunque los sectores más regulados, como el financiero, el energético o el sanitario, son los que más necesitan una solución integrada de GRC, cualquier organización -grande o pequeña, pública o privada- puede beneficiarse de ella. Cuando la GRC se hace bien, cada parte de la organización se alinea en torno a los objetivos, acciones y controles adecuados para impulsar el éxito de la organización. El riesgo ya no es algo que haya que temer, evitar o minimizar. El riesgo se convierte en una herramienta para crear valor estratégico y elevar el rendimiento.

Más información sobre Trazar el rumbo de la gestión del riesgo empresarial.

Integrar la IA en la GRC

La inteligencia artificial tiene el poder de transformar casi todos los aspectos de la empresa, incluida la GRC. El aprendizaje automático lleva mucho tiempo ayudando a analizar datos y predecir resultados. Pero la introducción de la IA generativa -como ChatGPT- lleva ese poder a un nuevo nivel. Para la GRC, la IA presenta nuevas oportunidades para automatizar, aumentar y acelerar los procesos de trabajo. Puede ampliar tus capacidades y tu alcance reimaginando cómo se hace el trabajo. ChatGPT y otras herramientas de IA generativa se basan en grandes modelos lingüísticos entrenados en cantidades masivas de texto extraído de Internet para aprender los patrones del lenguaje humano. Los datos potencian sus capacidades, permitiéndole analizar datos, encontrar patrones e idear soluciones más rápidamente que cualquier ser humano. El impacto potencial en la GRC es amplio. La IA ya está ayudando a comprobar los controles, revisar las pruebas y documentar las conclusiones. Las empresas se preguntan cómo puede la IA agilizar, facilitar y mejorar los informes a los consejos de administración. La IA puede ampliar el alcance de la GRC facilitando y agilizando las tareas asociadas. La IA puede incluso reducir los pasos necesarios en un flujo de trabajo. Con más automatización, tienes menos interacciones manuales, y esas acciones se combinan en un flujo de trabajo más sólido.

La IA generativa es la mejor para generar contenidos. Con unas pocas indicaciones, ChatGPT puede escupir un borrador en cuestión de segundos. Puede que ese borrador inicial no sea impecable, pero probablemente te aporte entre un 50% y un 70% del camino recorrido. Luego puedes refinarlo con sustancia, tono y voz para adaptarlo a tu organización. Piensa en la IA como un acelerador. Puede simplificar datos complejos, traducir información larga y técnica (como la normativa) a un inglés sencillo y eliminar el tedioso trabajo manual. Sin embargo, aún debes revisar la respuesta, ajustarla y llevarla adelante. Los casos de uso claros de GRC para ChatGPT incluyen:

  • Declaraciones y calificaciones de riesgo
  • Demanda de productos informáticos
  • Proyectos de políticas
  • Contenido de control
  • Interpretación de leyes y reglamentos
  • Controles potenciales
  • Traducciones de idiomas

Esta lista es sólo un comienzo. La IA podría utilizarse fácilmente para redactar planes de continuidad de la actividad empresarial o iniciarse en el riesgo de terceros. El potencial es casi infinito. Todo es cuestión de comprender lo que intentas conseguir y dónde la IA puede suponer un impulso.
Sin duda, la IA generativa no está exenta de preocupaciones. Todo el mundo -desde los reguladores hasta los propios inventores- está tratando de encontrar las salvaguardias adecuadas. Mientras tanto, he aquí algunos riesgos que hay que vigilar:

Alucinaciones – ChatGPT está programado para dar una respuesta, concretamente la mejor palabra siguiente de una frase. En ese proceso, podría inventarse la respuesta sin base alguna. Revisa y valida siempre la respuesta antes de transmitir la información.

Sesgo – ChatGPT utiliza información histórica para crear nuevos contenidos. El problema es que lo que era aceptable en, por ejemplo, 1970, puede no coincidir con las normas actuales. Y viceversa. Asegúrate de que el contenido generado por ChatGPT es relevante y apropiado para tu pregunta y para las políticas y cultura de tu organización.

Privacidad y seguridad de los datos – ChatGPT captura todo lo que escribes en la consulta y lo incorpora al modelo. Sé consciente de la información que compartes fuera de tu organización. Protégete definiendo casos de uso adecuados y tus parámetros para utilizarlos de forma segura. ChatGPT tampoco cita las fuentes, lo que dificulta la verificación de la exactitud y fiabilidad de la información proporcionada.

El valor del software GRC

La tecnología GRC integrada une procesos y funciones en toda la organización para una colaboración sin fisuras y una visión inteligente que respalde las decisiones basadas en datos. Derriba muros y proporciona transparencia entre las partes interesadas para que puedas comprender las conexiones entre los riesgos individuales, así como la forma en que todo se une en su conjunto. Y obtienes enormes ganancias en eficiencia y precisión, al tiempo que reduces costes. Con el software GRC, puedes

Haz más cosas. La tecnología GRC integrada automatiza las tareas rutinarias, los flujos de trabajo y el seguimiento, reduciendo drásticamente el número de horas humanas necesarias. Y como todos los datos se alojan en un solo lugar para uso de todos, se elimina el doble trabajo, para que puedas duplicar el análisis. Haz frente a cambios sin fin. En el último recuento más de 61.000 alertas normativas de 1.374 organismos reguladores. El software GRC integrado está diseñado no sólo para mantenerse eficazmente al día de las nuevas normativas y leyes, sino para ir un paso por delante de tu riesgo de cumplimiento y del impacto en la organización.

Mira quién hizo qué y cuándo. Disponer de todos los datos de riesgo y cumplimiento en un único repositorio con sólidas funciones de seguimiento te proporciona una pista de auditoría clara que documenta cada modificación. Colabora sin problemas. El software GRC integrado reúne todas las políticas, procedimientos y riesgos corporativos y legales de la empresa en un único lugar fácilmente accesible para todas las partes interesadas. Rompe los silos estableciendo procesos y controles coherentes en toda la organización. También fomenta una cultura consciente de los riesgos y crea un sentido de propiedad en el que todos desempeñan un papel para minimizar las sorpresas.

Ten una visión global. El software GRC integrado te permite conectar iniciativas y datos para descubrir perspectivas reales sobre cómo una parte del programa afecta a otra y comprender el impacto total en la organización. Con una mejor visión de tu programa en su conjunto, puedes identificar, priorizar y abordar mejor las cuestiones antes de que se conviertan en problemas de pleno derecho.

Responde a las preguntas difíciles. Con procesos racionalizados, datos en tiempo real y análisis incorporados, el software GRC integrado agiliza y facilita la creación de informes significativos que inspiran decisiones basadas en datos. Los cuadros de mando te ofrecen una visión continua de la eficacia de tus programas. Y los análisis avanzados aumentan la inteligencia humana extrayendo información nueva y más detallada de los datos. Tener este nivel de conocimiento también permite a los equipos de riesgo y cumplimiento ofrecer asesoramiento estratégico y perspectivas predictivas a la dirección.

Qué preguntar al considerar un nuevo software GRC

Unos programas de GRC sólidos y dotados de tecnología pueden ser un verdadero diferenciador competitivo para las organizaciones, por lo que es esencial tomar la decisión correcta. Con múltiples opciones tecnológicas y sin definiciones comunes, saber cuándo necesitas una solución GRC -o cuál necesitas- no es fácil. Aquí tienes cuatro preguntas que te ayudarán a definir tu enfoque al iniciar el proceso de compra de software GRC:

  1. ¿Qué problemas intentas resolver?

    ¿Cuáles son tus mayores preocupaciones? ¿El riesgo cibernético? ¿Cumplimiento de las normas comerciales? ¿Impacto en la reputación? ¿Riesgos emergentes?

    El primer paso en tu viaje de compra de software GRC es comprender tus necesidades específicas. Es fácil obsesionarse con encontrar y comprar el «mejor» producto y el más rico en funciones del mercado. Pero si estas soluciones no proporcionan la inteligencia procesable que necesitas para alcanzar tus objetivos, entonces no aportarán el valor que necesitas.

  2. ¿Qué características y funcionalidades son más importantes hoy en día?

    ¿Necesitas una solución de ERM, además de una herramienta de auditoría? ¿O un software de ERM con capacidades de cumplimiento añadidas? ¿Y capacidades de análisis y elaboración de informes? ¿Deberías optar por una plataforma única con múltiples herramientas para mejorar la colaboración, o buscar soluciones puntuales independientes para cada función? Con tantas soluciones en el mercado, es inevitable que surjan preguntas sobre la combinación adecuada de herramientas, características y funciones. El mejor plan de ataque es separar lo que es imprescindible de lo que es agradable. Fíjate en lo que necesitas hoy y en lo que probablemente necesitarás en el futuro. Compra la combinación de herramientas que te proporcione tanto la funcionalidad que necesitas ahora como la escalabilidad para seguir adelante, dentro de un presupuesto razonable.

  3. ¿Quién debe participar directamente en el proceso de compra?

    Reúne un equipo de compra basado en tres factores:

    • ¿Quién necesita el software?
    • ¿Quién mantiene el software?
    • ¿Quién controla los fondos?

    .
    Implicar a demasiadas partes interesadas puede llevar a comprar herramientas que no necesitas o a malgastar dinero en múltiples soluciones puntuales con funciones que se solapan. No puedes complacer a todo el mundo, así que céntrate en abordar los aspectos prácticos de quienes tienen algo que ver. Suele tener sentido que la gestión de riesgos lidere el proceso. El equipo de gestión de riesgos suele tener la mayor visibilidad sobre qué características y funciones cumplirán las prioridades de la organización. Este equipo también tiene la mejor visión de cómo afecta el riesgo a toda la organización y tiene el poder de ayudar a todos a ver y pensar en el riesgo de forma más uniforme.

  4. ¿Quién debe asesorar?
    Otros departamentos y partes interesadas tienen voz, pero no la misma. Auditoría interna, por ejemplo, es un valioso asesor en el proceso de compra de software GRC. Este departamento puede verificar que la solución considerada tiene buenos controles, para que las personas adecuadas evalúen los riesgos correctos, y la información sea fiable. Del mismo modo, el departamento de TI puede ofrecer una experiencia importante en torno a la implantación, la formación y las integraciones.

La mejor solución GRC permite a las organizaciones comprender lo que podría ocurrir y lo que se puede hacer al respecto, de modo que la dirección pueda tomar decisiones rápidas e inteligentes para proteger a la organización.

Implantación de la GRC¿Listo para redactar una solicitud de propuesta de GRC? Empieza por aquí.

Seleccionar una solución de software GRC puede ser abrumador. ¿Buscas un montón de soluciones puntuales? ¿O buscas una solución integral con una amplia funcionalidad para facilitar el intercambio de datos y la colaboración en toda la organización? En cualquier caso, una RFP es fundamental para encontrar al socio adecuado. Descarga esta plantilla para obtener una lista de las preguntas más importantes relacionadas con la GRC que te ayudarán a guiar tu proceso de compra. Las preguntas se presentan en una hoja de cálculo descargable, que puede modificarse fácilmente para adaptarla a tus propias necesidades.

Cómo evaluar el software GRC

Mantenerse al día de los riesgos, normativas y políticas en constante cambio requiere una solución tecnológica de GRC que sea flexible, escalable e integrada. El software GRC adecuado añadirá eficiencia, demostrará eficacia y elevará el valor de la función de gestión de riesgos para la organización. Cuando evalúes posibles soluciones, plantéate

  • ¿Es fácil utilizar la tecnología? Incluso el mejor software de GRC es prácticamente inútil si es demasiado difícil de usar. Y cuanto más fácil sea utilizarlo, más gente se comprometerá, y mayor será el nivel de compromiso.
  • ¿Hasta qué punto es accesible la tecnología? Ya nadie quiere estar encadenado a un escritorio. El software debe ser accesible en cualquier momento, desde cualquier lugar y desde cualquier dispositivo: portátil, ordenador de sobremesa, tableta o teléfono.
  • ¿Es seguro el sistema? Asegúrate de que tus datos están protegidos con la máxima seguridad de extremo a extremo, certificada de forma independiente.
  • ¿Dónde se almacena la información sobre riesgos y cumplimiento? Las soluciones basadas en la nube se consideran más seguras que los sistemas alojados localmente. También ofrecen la ventaja de las actualizaciones automáticas con interrupciones mínimas.
  • ¿Es fiable el sistema? Para mantener contentos a los usuarios, quieres un sistema fiable y constante que te dé las respuestas que necesitas sin apenas tiempo de espera para consultas, búsquedas o análisis.
  • ¿Es fácil hacer cambios y actualizaciones? Deberías poder añadir fácilmente campos, personalizar el diseño de las páginas y modificar la configuración para adaptarla a los cambios de normativa, a los nuevos requisitos o a la evolución de las prioridades, sin la ayuda de TI o de tu proveedor de software.
  • ¿Está todo lo necesario en el mismo sitio? Quieres poder acceder a toda la documentación relevante, ver el estado actual y comunicarte entre departamentos, áreas funcionales y ubicaciones sin salir nunca de la plataforma. Y cada actividad debe registrarse automáticamente para tener una pista de auditoría clara.
  • ¿Qué se puede automatizar? Una solución eficaz automatiza los flujos de trabajo, las evaluaciones, los atestados, las alertas y los planes de acción para que el equipo de riesgos y cumplimiento pueda centrarse en las tareas que requieren inteligencia humana. ¿Se integra la solución con IA generativa como ChatGPT?
  • ¿Se integra la tecnología con otras funciones? El valor del software GRC se dispara cuando integra a la perfección el riesgo empresarial, el cumplimiento, la gestión de riesgos de terceros, la auditoría interna y otras funciones de gestión de riesgos para ofrecerte una imagen precisa de tu riesgo total. Con una tecnología verdaderamente integrada, puedes ver cómo un suceso de riesgo fluye por toda la organización, y medir el impacto acumulativo desde el cumplimiento hasta el riesgo empresarial y más allá.
  • ¿Puedes extraer la historia completa de tus datos? Busca una solución GRC que ofrezca análisis de datos, visualización y conocimiento de tus riesgos y tendencias, y que te muestre cómo afectan a otros riesgos y a la organización en general.
  • ¿Hay cuadros de mando disponibles, y son personalizables? Los cuadros de mando personalizables permiten a todo el mundo -desde los miembros de los equipos de riesgo y cumplimiento hasta la alta dirección- tomar el pulso a las métricas que más les importan.
  • ¿Con qué facilidad se pueden crear informes? No hay nada más frustrante que tener grandes datos y ninguna forma fácil de darles sentido. Las soluciones más útiles ofrecen informes «apuntar y hacer clic» para las presentaciones reglamentarias obligatorias, una visión global para los ejecutivos y capacidades de desglose para los tácticos.

Imagina el poder de la integración.

Romper los silos entre riesgo empresarial, cumplimiento, gestión de riesgos de terceros y auditoría interna permite una respuesta más ágil y coordinada a riesgos que a menudo se solapan. Y eso es poderoso.

Ahora imagina si pudieras seguir eso hasta el lado asegurado de la casa. Una tecnología verdaderamente integrada no sólo te muestra el impacto de tus riesgos empresariales, de cumplimiento, de gestión de riesgos de terceros y de auditoría interna, sino que te muestra si esos riesgos podrían dar lugar a reclamaciones, por ejemplo, y el coste previsto para resolverlas. Por fin podrás comprender el impacto total de cualquier riesgo en la organización.

Imagina lo que podrías hacer con ese poder.

Aprende aquí a conquistar el nuevo mundo del riesgo con la gestión integrada de riesgos .

Cómo implantar con éxito el software GRC

Implantación de la GRCEl éxito o el fracaso de la implantación del software GRC depende en gran medida de la solidez de la asociación con el proveedor elegido y de lo preparado que estés antes de la implantación. Teniendo esto en cuenta, aquí tienes ocho consejos que te pondrán en el camino hacia una implantación exitosa del software:

  1. Define la línea de meta antes de empezar. ¿Empezarías una carrera sin saber dónde está la línea de meta? Por supuesto que no, ya que podrías perder un tiempo y una energía preciosos yendo en la dirección equivocada. Del mismo modo, empezar un proyecto de implantación de software GRC sin definir claramente una línea de meta -es decir, los criterios de éxito- puede provocar retrasos, confusión y ampliación del alcance. Empieza con unos requisitos empresariales bien definidos que estén totalmente alineados con tu organización. Esos requisitos determinarán las especificaciones funcionales/técnicas y los criterios de las pruebas de aceptación del usuario y, en última instancia, medirán el éxito de tu proyecto.
  2. No automatices un proceso roto. Por muy cómodo que te sientas con tus flujos de trabajo actuales, diseñar el nuevo sistema de GRC en torno a los métodos antiguos es un error costoso, pero común. Personalizar en gran medida los nuevos flujos de trabajo de GRC para que imiten los antiguos puede tener graves consecuencias, como la ampliación de los plazos de implantación, el aumento del alcance, futuros problemas de compatibilidad y la imposibilidad de utilizar otras funciones estándar básicas (o futuras). Los proveedores invierten incontables horas y dinero en desarrollar normas configurables basadas en las mejores prácticas, así que estate abierto a aprender cómo estas normas pueden satisfacer tus requisitos empresariales.
  3. Comunica, comunica, comunica. No des por sentado que el proveedor sabrá automáticamente lo que quieres decir sin que tú se lo expliques. Cuando se trata de una implantación con éxito, no existe tal cosa como demasiada comunicación. Discute todos los problemas posibles en las primeras fases de la implantación, y no tengas reparos en hacer preguntas o expresar tus preocupaciones. Incluso los problemas aparentemente pequeños pueden tener un gran impacto en el éxito de la implantación si no se abordan hasta etapas posteriores, o peor aún, si no se abordan en absoluto.
  4. Las implantaciones con éxito son como un matrimonio. Al igual que en un matrimonio, tanto tu empresa como el proveedor deben contribuir para que la unión tenga éxito. La comunicación y la confianza son esenciales, ambas partes deben rendir cuentas, y va a ser necesario trabajar duro para que la relación prospere. Si una de las partes se mantiene al margen, puede que sus necesidades no se aborden adecuadamente, lo que puede poner en peligro la implementación. Y si la relación se desequilibra demasiado, podríais acabar en un desagradable divorcio.
  5. Sí, necesitas un jefe de proyecto designado. Aunque una implantación puede tener éxito sin el papel de PM, tus probabilidades de éxito aumentan exponencialmente cuando participa un gestor de proyectos. Coordinar todos los recursos y tareas durante una gran implantación puede ser una tarea ardua. Algo tan sencillo como programar una reunión para varias personas de distintas organizaciones puede resultar difícil si el papel de PM se divide entre varios miembros del equipo de implantación. Tener un único punto de contacto centraliza las comunicaciones, agiliza todas las actividades de implantación y mantiene a todo el mundo en el buen camino.
  6. Sé realista con tus otros compromisos de tiempo. Formar parte de un equipo de implantación puede ser sólo una de las muchas tareas que tengas entre manos. Sé realista sobre el tiempo que tienes disponible para dedicar al proceso de implantación, e informa al proveedor -y a los miembros del equipo- sobre otros compromisos o conflictos que tengas en cuanto se elabore la línea de base del calendario del proyecto.
  7. No descuides el proceso de prueba. Por muy tentador que resulte acelerar las pruebas para cumplir los plazos, no es el momento de hacer recortes. Pasar por alto o condensar las pruebas integrales de aceptación del usuario puede abocarte a montañas de problemas posteriores a la puesta en marcha, trabajo extra y retrasos en tus procesos empresariales. Una prueba de aceptación del usuario adecuada lleva tiempo hacerla correctamente, pero el esfuerzo adicional te ahorrará muchos dolores de cabeza en el futuro.
  8. Prepárate para lo inesperado. Por muy diligente que seas, es prácticamente imposible identificar y prepararse para todos los problemas posibles. Seguro que ocurre algo inesperado, pero el impacto a menudo depende más de cómo reacciones que del problema en sí. Cuando un problema inesperado amenace con hacer descarrilar la implantación, trabaja constructivamente con tu equipo para abordarlo de frente y seguir adelante. Y si eliges al proveedor adecuado, juntos podréis gestionar con pericia cualquier sorpresa que se os presente.

Cómo crear un caso empresarial para el software GRC

Los consejos de administración y la alta dirección pueden reconocer que la tecnología GRC proporcionará una mejor supervisión y mejorará el riesgo y el cumplimiento en general, pero seguirán mostrándose reacios a asignar presupuesto. El reto consiste en definir y medir el valor -coste, flexibilidad, eficiencia, eficacia- de un modo lo bastante significativo como para convencer a los que manejan los hilos del dinero. El software GRC integrado estandariza los procesos, agiliza la recopilación de datos y refuerza la seguridad. La automatización de las tareas rutinarias permite al equipo de riesgos y cumplimiento pasar de la recopilación de datos al trabajo de mayor valor, como investigar y solucionar los problemas. Los análisis incorporados y los datos centralizados proporcionan nuevas perspectivas basadas en datos, identifican interdependencias que de otro modo habrían pasado desapercibidas, y te dan una visión temprana de los indicadores de riesgo que pueden utilizarse para impulsar la visión estratégica. Añade a eso informes en tiempo real que extraen la historia dentro de tus datos para tomar decisiones mejores y más rápidas. Los cuadros de mando también permiten una supervisión continua de los indicadores y métricas clave. En resumen, el software GRC integrado te proporciona datos concretos sobre el estado actual de tu programa de riesgos y cumplimiento, dónde están tus puntos débiles y qué hay que hacer. Al alcance de tu mano.

Dólares – y Sentido

Aunque es difícil poner una cifra exacta en dólares al ROI del software GRC integrado, hay formas de cuantificar el valor.

Para empezar, evalúa los recursos de personal que se ahorrarían con una mayor eficiencia y relaciónalo con un valor en dólares. Por ejemplo, si la automatización te ahorra 20 horas a la semana por un salario que se desglosa en, digamos, 50 $ por hora, eso supone un ahorro de 1.000 $ semanales para la empresa. Multiplícalo por el número de personas y horas ahorradas, y el impacto de la automatización por sí sola podría ser significativo. Esas horas extra pueden entonces redirigirse a tareas que aporten más valor estratégico a la organización.

Por significativa que sea esa cantidad, el valor real del software GRC reside en su capacidad para mejorar la toma de decisiones. Tienes una imagen clara de lo que está ocurriendo, por lo que puedes decidir con confianza qué riesgos merece la pena asumir, y cuáles no.

Pero, ¿qué es lo que hablará más alto al liderazgo? En primer lugar, que no haya sorpresas. No hay nada que deteste más el consejo de administración y la alta dirección que verse sorprendidos por algo que deberían -podrían- haber sabido. Una plataforma GRC integrada pone todos los riesgos en tu radar, lo que minimiza las sorpresas. Y luego está la visibilidad. Con un software GRC integrado, cada riesgo se documenta y se presenta en el contexto de otros riesgos, así como de los objetivos de la organización. Los altos dirigentes son muy conscientes de que la propia supervivencia de la organización puede depender de su capacidad de obtener acceso instantáneo a los datos de riesgo en tiempo real para fundamentar las decisiones estratégicas difíciles que impulsarán el éxito de la organización. Y con una estrategia de GRC bien planificada, respaldada por una tecnología de GRC integrada, por fin dispondrás tanto de la visibilidad para ver tus riesgos como de la agilidad para esquivar los obstáculos que te impidan llegar a buen puerto.

Infórmate sobre el software GRC de Riskonnect aquí.