GRC (Gobierno, Riesgo y Cumplimiento):
La guía definitiva

Riskonnect

¿Qué es la GRC?

Gobernanza, riesgo y cumplimiento - conocido popularmente como GRC - es un conjunto de procesos y procedimientos para ayudar a las organizaciones a alcanzar los objetivos empresariales, hacer frente a la incertidumbre y actuar con integridad.

El propósito básico de la GRC es inculcar buenas prácticas empresariales en la vida cotidiana. Aunque no es un concepto nuevo, la GRC ha crecido en importancia a medida que los riesgos se han vuelto más numerosos, más complejos y más dañinos.

What is GRC

GRC clipboard icon

El acrónimo GRC fue acuñado hace casi dos décadas por OCEG como referencia abreviada a las capacidades críticas que integran el gobierno, la gestión y la garantía de las actividades de rendimiento, riesgo y cumplimiento.

En la actualidad, la GRC abarca múltiples disciplinas, como la gestión de riesgos empresariales, el cumplimiento normativo, la gestión de riesgos de terceros y la auditoría interna, entre otras. Aunque cada disciplina tiene sus propias prioridades -y a menudo su propia manera de hacer las cosas-, los líderes de GRC reconocen ahora el poder de compartir datos e inteligencia para impulsar mejores resultados y construir una organización más fuerte y resistente.

GRC integrated risk management

Qué está impulsando el interés por la GRC

El panorama actual de los riesgos está más saturado, incierto e interconectado que nunca. Un riesgo -por ejemplo, un problema de salud y seguridad- puede extenderse a la cadena de suministro, la continuidad de la empresa, las relaciones comerciales, la seguridad informática, la productividad de los trabajadores, etc. Al mismo tiempo, múltiples fuerzas están reconfigurando el terreno de los riesgos, entre ellas:

  • Ritmo y alcance crecientes del cumplimiento de la normativa
    Prácticamente todas las organizaciones de todos los sectores se enfrentan a un número cada vez mayor y cambiante de normativas que deben cumplir.
  • Acelerar la digitalización de la gestión de riesgos
    El internet de las cosas, los terceros, el blockchain... cada nuevo punto de acceso añade vulnerabilidad y aumenta el riesgo exponencialmente.
  • Creciente importancia de la gestión de riesgos en la estrategia empresarial
    La gestión de riesgos se considera cada vez más no sólo como una función táctica, sino como una parte valiosa de la estrategia empresarial.
  • Evolución de la sofisticación de los análisis
    La mejora de los análisis está proporcionando nuevos niveles de conocimiento para las decisiones basadas en datos.

La influencia de las redes sociales, las constantes amenazas de ciberataques y las exigencias de mayor transparencia también están aumentando la presión sobre los ejecutivos y los consejos de administración para que tomen decisiones acertadas sobre el riesgo a un ritmo acelerado y con poco margen de error. A su vez, los altos directivos confían en un número cada vez mayor de partes interesadas de todos los rincones de la organización para identificar, gestionar y reducir el riesgo.

Para dirigir la organización hacia el éxito, los líderes necesitan acceder rápidamente a los hechos y utilizarlos para informar su respuesta. Una estrategia integral de GRC puede allanar el camino eliminando los silos y fomentando la colaboración para una actuación más rápida, precisa y coordinada.

¿Qué significa la GRC, en teoría y en la práctica?

GRC ERM enterprise risk managementHay tres componentes principales de la GRC:

  • Gobernanza - Alinear los procesos y las acciones con los objetivos empresariales de la organización
  • Riesgo - Identificar y abordar todos los riesgos de la organización
  • Cumplimiento - Garantizar que todas las actividades cumplen los requisitos legales y reglamentarios

En el pasado, las organizaciones solían abordar la gobernanza, el riesgo y el cumplimiento como actividades separadas. Con frecuencia, los procesos o sistemas se creaban en respuesta a un acontecimiento específico -por ejemplo, una nueva normativa, un litigio, una filtración de datos o un hallazgo de una auditoría- sin pensar en cómo funcionaba dentro del conjunto. El resultado era una maraña de ineficiencias, redundancias e imprecisiones, entre otras:

  • Falta de visibilidad del panorama completo de riesgos
  • Acciones conflictivas
  • Complejidad innecesaria
  • Incapacidad para evaluar los efectos en cascada del riesgo

La realidad es que hay mucho solapamiento entre la gobernanza, el riesgo y el cumplimiento. Cada una de las tres disciplinas crea información de valor para las otras dos, y las tres afectan a las mismas tecnologías, personas, procesos e información. Una organización, por ejemplo, puede estar sujeta a una nueva normativa sobre privacidad de los datos (una actividad de cumplimiento), mientras que también se somete a ciertos controles internos de protección de datos (una actividad de gobierno), que ayudan a mitigar el riesgo cibernético (una actividad de gestión de riesgos).

Cuando las tres disciplinas de la GRC se gestionan por separado, se produce una importante duplicación de tareas. Varios equipos acaban dedicando horas a recopilar los mismos datos, y otras horas a desenredar hilos de correo electrónico y hojas de cálculo solo para empezar el análisis.

Lo que es más perjudicial, los procesos desconectados y la falta de transparencia dejan a la organización ciega ante las ideas y las interrelaciones entre los riesgos, lo que socava todo el sistema al permitir que las lagunas y las redundancias de los controles pasen desapercibidas. Los equipos aislados tampoco entienden cómo su ámbito particular influye en la posición de riesgo de la empresa en su conjunto o en su éxito general.

En resumen, gestionar la GRC en silos separados supone un gran esfuerzo adicional, y ese esfuerzo produce muy poca recompensa. Sin una visión integrada de todas las actividades relacionadas con la GRC, es casi imposible identificar problemas e incoherencias. Un riesgo perjudicial puede pasar fácilmente desapercibido y no abordado porque no se ha podido calibrar todo el impacto hasta que ha sido demasiado tarde.

Más información sobre Transformar el cumplimiento de las normas en algo más que una simple comprobación en la caja..

Cómo evaluar la madurez de su GRC

Prácticamente todas las organizaciones participan en la gestión de riesgos de alguna manera, aunque el "sistema" de gestión de riesgos sea incipiente. No hay una única forma correcta de gestionar el riesgo y el cumplimiento, pero si su sistema actual no puede seguir el ritmo de las cambiantes necesidades de la empresa, podría ser el momento de reevaluar su enfoque. Incluso un sistema de gestión de riesgos de primera clase puede tener margen de mejora, dado el entorno de riesgo siempre cambiante.

El uso de un modelo de madurez de riesgos que evalúa su posición de GRC es una excelente manera de identificar dónde se encuentra ahora. A continuación, puede comparar su estado actual con el que desea tener, y evaluarlo frente al valor y el coste de una mayor inversión en la gestión de riesgos. Cuanto más maduro sea su programa de GRC, más eficaz será la toma de decisiones, la asunción de los riesgos adecuados y el logro de mejores resultados para la organización.

¿En qué lugar del continuo se encuentra su organización?

risk maturity model
Nivel de madurez Descripción Atributos clave
Una Ad hoc La gestión del riesgo no está documentada, es cambiante y depende de las heroicidades individuales.
Dos Preliminar El riesgo se define de diferentes maneras y se gestiona en silos. Es poco probable que la disciplina de los procesos sea rigurosa.
Tres Definido Existe un marco común de evaluación de riesgos/respuesta. Se proporciona a la dirección ejecutiva y al consejo de administración una visión del riesgo a nivel de toda la organización en forma de lista de riesgos "principales". Se aplican planes de acción en respuesta a los riesgos de alta prioridad.
Cuatro Integrado Las actividades de GRC se coordinan en todas las áreas de negocio. Se utilizan herramientas y procesos comunes de gestión de riesgos cuando procede, con un seguimiento, medición y presentación de informes de riesgos en toda la empresa. Las respuestas alternativas se analizan con la planificación de escenarios y otras técnicas, como Simulación Monte Carlo. Se han establecido métricas del proceso. Pero se sigue haciendo hincapié en la gestión de una lista de riesgos. El debate sobre el riesgo en el comité ejecutivo y el consejo de administración está separado del debate sobre la estrategia y los resultados.
Cinco Optimizado El enfoque pasa de la gestión de una lista de riesgos fuera del contexto de los objetivos de la empresa a la gestión para la consecución de los objetivos. La consideración de lo que podría suceder está integrada en la planificación estratégica, la asignación de capital y otros procesos, así como en la toma de decisiones estratégicas y tácticas diarias. Existe un nivel razonable de seguridad de que los responsables de la toma de decisiones están asumiendo el nivel correcto de los riesgos necesarios para el éxito y no sólo para evitar el fracaso. Existen sistemas de alerta temprana para notificar al consejo de administración y a la dirección los riesgos específicos que superan los umbrales establecidos de apetito de riesgo o de capacidad de riesgo, y cuando la probabilidad de alcanzar los objetivos de la empresa es menos que aceptable. Los informes a la dirección y al consejo de administración integran la información sobre el rendimiento (dónde estamos ahora) y el riesgo (qué podría pasar) para proyectar la probabilidad de alcanzar cada objetivo de la empresa. El debate sobre el riesgo en la alta dirección y el consejo de administración (lo que podría ocurrir) no está separado del debate sobre la estrategia y los resultados.

Cómo hacer GRC de forma correcta

Una GRC eficaz establece los procesos y sistemas que permiten tomar decisiones conscientes del riesgo en todos los niveles. Se trata de dar a todas las partes interesadas acceso a los mismos datos de alta calidad y en tiempo real para que puedan compartir conocimientos y colaborar en las acciones. Un enfoque de GRC sobresaliente:

  • Define un vocabulario común para todas las disciplinas.
  • Establece una fuente de verdad.
  • Estandariza los procesos, las prácticas y las políticas.
  • Facilita la comunicación y la colaboración.

Aunque los sectores más regulados, como el financiero, el energético o el sanitario, son los que más necesitan una solución de GRC integrada, cualquier organización -grande o pequeña, pública o privada- puede beneficiarse.

Cuando la GRC se hace bien, cada parte de la organización se alinea en torno a los objetivos, las acciones y los controles adecuados para impulsar el éxito de la organización. El riesgo ya no es algo que hay que temer, evitar o minimizar. El riesgo se convierte en una herramienta para crear valor estratégico y elevar el rendimiento.

Más información sobre Trazando el rumbo de la gestión del riesgo empresarial.

El valor del software GRC

La tecnología de GRC integrada une los procesos y las funciones de toda la organización para lograr una colaboración perfecta y una información inteligente que respalde las decisiones basadas en datos. Derriba los muros y proporciona transparencia entre las partes interesadas para que pueda entender las conexiones entre los riesgos individuales, así como la forma en que todo se une en su conjunto. Y se obtienen enormes ganancias en eficiencia y precisión, al tiempo que se reducen los costes.

Con el software GRC, puede:

  • Haz más cosas. La tecnología GRC integrada automatiza las tareas rutinarias, los flujos de trabajo y el seguimiento, reduciendo drásticamente el número de horas humanas necesarias. Y como todos los datos se encuentran en un solo lugar para que todos los utilicen, se elimina el doble trabajo, por lo que se puede duplicar el análisis.
  • Afrontar el cambio interminable. En el último recuento, en un año se enviaron más de 56.000 alertas reglamentarias de 900 organismos reguladores de todo el mundo. El software integrado de GRC está diseñado no sólo para mantenerse al día de manera eficiente con las nuevas regulaciones y leyes, sino para estar un paso por delante de su riesgo de cumplimiento y el impacto en la organización.
  • Vea quién hizo qué y cuándo. Disponer de todos los datos de riesgo y cumplimiento en un único repositorio con sólidas capacidades de seguimiento le proporciona un claro seguimiento de auditoría que documenta cada modificación.
  • Colabora sin problemas. El software GRC integrado reúne todas las políticas corporativas y legales, los procedimientos y los riesgos de la empresa en un solo lugar al que pueden acceder fácilmente todas las partes interesadas. Rompe los silos al establecer procesos y controles coherentes en toda la organización. También fomenta una cultura de concienciación sobre los riesgos y crea un sentido de propiedad en el que todos desempeñan un papel para minimizar las sorpresas.
  • Vea el panorama general. El software de GRC integrado le permite conectar iniciativas y datos para descubrir información real sobre cómo una parte del programa afecta a otra y comprender el impacto total en la organización. Con una mejor visión de su programa en su conjunto, puede identificar, priorizar y abordar mejor las cuestiones antes de que se conviertan en problemas de pleno derecho.
  • Responde a las preguntas difíciles. Con procesos racionalizados, datos en tiempo real y análisis incorporados, el software GRC integrado hace que sea rápido y fácil crear informes significativos que inspiren decisiones basadas en datos. Los cuadros de mando le ofrecen una visión continua de la eficacia de sus programas. Y los análisis avanzados aumentan la inteligencia humana al extraer información nueva y más detallada de los datos. Disponer de este nivel de conocimiento también permite a los equipos de riesgo y cumplimiento ofrecer asesoramiento estratégico y perspectivas predictivas a la dirección.

Qué preguntar cuando se considera un nuevo software de GRC

Los programas de GRC sólidos y dotados de tecnología pueden ser un verdadero diferenciador competitivo para las organizaciones, por lo que es esencial tomar la decisión correcta. Con múltiples opciones tecnológicas y sin definiciones comunes, saber cuándo se necesita una solución de GRC -o cuál se necesita- no es fácil.

Aquí hay cuatro preguntas que le ayudarán a definir su enfoque al comenzar el proceso de compra de software GRC:

  1. ¿Qué problemas intenta resolver?

    ¿Cuáles son sus mayores preocupaciones? ¿Riesgo cibernético? ¿Cumplimiento comercial? ¿Impacto en la reputación? ¿Riesgos emergentes?

    El primer paso en su viaje de compra de software GRC es entender sus necesidades distintivas. Es fácil obsesionarse con la búsqueda y la compra del "mejor" producto del mercado y con más funciones. Pero si estas soluciones no ofrecen la inteligencia procesable que necesita para alcanzar sus objetivos, no le aportarán el valor que necesita.

  2. ¿Qué características y funcionalidades son las más importantes hoy en día?

    ¿Necesita una solución de ERM más una herramienta de auditoría? ¿O un software de ERM con capacidades adicionales de cumplimiento? ¿Y las capacidades de análisis e información? ¿Debe optar por una plataforma única con múltiples herramientas para mejorar la colaboración, o buscar soluciones puntuales para cada función?

    Con tantas soluciones en el mercado, es inevitable que surjan preguntas sobre la combinación adecuada de herramientas, características y funciones. El mejor plan de ataque es separar lo que es imprescindible de lo que es agradable. Analice lo que necesita hoy y lo que probablemente necesitará en el futuro. Compre la combinación de herramientas que le ofrezca tanto la funcionalidad que necesita ahora como la escalabilidad para seguir adelante, dentro de un presupuesto razonable.

  3. ¿Quién debe participar directamente en el proceso de compra?

    Reúna un equipo de compra basado en tres factores:

    • ¿Quién necesita el software?
    • ¿Quién mantiene el software?
    • ¿Quién controla los fondos?

    Involucrar a demasiadas partes interesadas puede llevar a comprar herramientas que no se necesitan o a malgastar dinero en múltiples soluciones puntuales con características que se solapan. No se puede complacer a todo el mundo, así que hay que centrarse en los aspectos prácticos de los que están en juego.

    Por lo general, tiene sentido que la gestión de riesgos lidere la carga. El equipo de gestión de riesgos suele tener la mayor visibilidad sobre las características y funciones que cumplirán las prioridades de la organización. Este equipo también tiene la mejor visión de cómo el riesgo afecta a toda la organización y tiene el poder de ayudar a todos a ver y pensar en el riesgo de manera más uniforme.

  4. ¿Quién debe asesorar?
    Otros departamentos y partes interesadas tienen voz, pero no la misma. La auditoría interna, por ejemplo, es un asesor valioso en el proceso de compra de software de GRC. Este departamento puede verificar que la solución considerada tiene buenos controles, de modo que las personas adecuadas evalúan los riesgos correctos y la información es fiable. Del mismo modo, el departamento de TI puede ofrecer una importante experiencia en cuanto a la implantación, la formación y las integraciones.

La mejor solución de GRC permite a las organizaciones comprender lo que podría suceder y lo que se puede hacer al respecto, de modo que los dirigentes puedan tomar decisiones rápidas e inteligentes para proteger a la organización.

¿Está preparado para redactar una solicitud de propuesta de GRC? Comience aquí.

La selección de una solución de software de GRC puede ser abrumadora. ¿Busca una serie de soluciones puntuales? ¿O busca una solución integral con una amplia funcionalidad que facilite el intercambio de datos y la colaboración en toda la organización? En cualquier caso, una RFP es fundamental para encontrar el socio adecuado.

Descargar esta plantilla para obtener una lista de las preguntas más importantes relacionadas con la GRC que le ayudarán a orientar su proceso de compra. Las preguntas se presentan en una hoja de cálculo descargable, que puede modificarse fácilmente para adaptarse a sus propias necesidades.

Cómo evaluar el software de GRC

Para mantenerse al día con los riesgos, las normativas y las políticas que cambian constantemente se necesita una solución tecnológica de GRC que sea flexible, escalable e integrada. El software GRC adecuado añadirá eficiencia, demostrará eficacia y elevará el valor de la función de gestión de riesgos para la organización. Al evaluar las posibles soluciones, considere preguntar:

  • ¿Es fácil utilizar la tecnología? Incluso el mejor software de GRC es prácticamente inútil si es demasiado difícil de usar. Y cuanto más fácil sea su uso, más gente se comprometerá, y mayor será el nivel de compromiso.
  • ¿Cómo de accesible es la tecnología? Nadie quiere seguir encadenado a un escritorio. El software debe ser accesible en cualquier momento, desde cualquier lugar y desde cualquier dispositivo: portátil, ordenador de sobremesa, tableta o teléfono.
  • ¿Qué seguridad tiene el sistema? Asegúrese de que sus datos están protegidos con la máxima seguridad de extremo a extremo que ha sido certificada de forma independiente.
  • ¿Dónde se almacena la información sobre riesgos y cumplimiento? Las soluciones basadas en la nube se consideran en general más seguras que los sistemas alojados localmente. También ofrecen la ventaja de las actualizaciones automáticas con una interrupción mínima.
  • ¿Qué fiabilidad tiene el sistema? Para mantener a los usuarios contentos, usted quiere un sistema siempre fiable que le dé las respuestas que necesita sin apenas tiempo de espera para las consultas, las búsquedas o los análisis.
  • ¿Es fácil hacer cambios y actualizaciones? Debe ser capaz de añadir fácilmente campos, personalizar el diseño de las páginas y modificar la configuración para adaptarla a los cambios en la normativa, a los nuevos requisitos o a la evolución de las prioridades, sin la ayuda del departamento de TI o de su proveedor de software.
  • ¿Está todo lo necesario en un solo lugar? Quiere poder acceder a toda la documentación pertinente, ver el estado actual y comunicarse con todos los departamentos, áreas funcionales y ubicaciones sin tener que salir de la plataforma. Además, cada actividad debe registrarse automáticamente para obtener una pista de auditoría clara.
  • ¿Qué se puede automatizar? Una solución eficaz automatiza los flujos de trabajo, las evaluaciones, los atestados, las alertas y los planes de acción para que el equipo de riesgos y cumplimiento pueda centrarse en las tareas que requieren inteligencia humana.
  • ¿Se integra la tecnología con otras funciones? El valor del software GRC se dispara cuando integra perfectamente el riesgo empresarial, el cumplimiento, la gestión de riesgos de terceros, la auditoría interna y otras funciones de gestión de riesgos para ofrecerle una imagen precisa de su riesgo total. Con una tecnología verdaderamente integrada, puede ver cómo un evento de riesgo fluye a través de toda la organización, y medir el impacto acumulativo desde el cumplimiento hasta el riesgo empresarial y más allá.
  • ¿Puede extraer la historia completa de sus datos? Busque una solución de GRC que ofrezca análisis de datos, visualización y conocimiento de sus riesgos y tendencias, y que le muestre cómo afectan a otros riesgos y a la organización en general.
  • ¿Existen cuadros de mando y son personalizables? Los cuadros de mando personalizables permiten a todo el mundo -desde los miembros del equipo de riesgo y cumplimiento hasta los directivos- tomar el pulso a las métricas que más les interesan.
  • ¿Con qué facilidad se pueden crear informes? No hay nada más frustrante que tener grandes datos y no tener una manera fácil de darles sentido. Las soluciones más útiles ofrecen informes de tipo "apuntar y hacer clic" para las presentaciones reglamentarias requeridas, una visión global para los ejecutivos y capacidades de desglose para los tácticos.

Imagine el poder de la integración

La eliminación de los silos entre el riesgo empresarial, el cumplimiento, la gestión de riesgos de terceros y la auditoría interna permite una respuesta más ágil y coordinada a los riesgos que a menudo se solapan. Y eso es poderoso.

Ahora imagínese si pudiera seguir eso hasta el lado asegurado de la casa. Una tecnología verdaderamente integrada no sólo le muestra el impacto de sus riesgos empresariales, de cumplimiento, de gestión de riesgos de terceros y de auditoría interna, sino que le muestra si esos riesgos podrían dar lugar a reclamaciones, por ejemplo, y el coste previsto para resolverlas. Por fin podrá comprender el impacto total de cualquier riesgo en la organización.

Imagina lo que podrías hacer con esa clase de poder.

Aprenda a conquistar el nuevo mundo del riesgo con la gestión integrada de riesgos.

GRC Implementation

Cómo implantar con éxito el software de GRC

El éxito o el fracaso de la implantación del software de GRC depende en gran medida de la solidez de la asociación con el proveedor elegido y de lo preparado que esté antes de la implantación. Con esto en mente, aquí hay ocho consejos para ponerlo en el camino hacia una implementación exitosa del software:

  1. Defina la línea de meta antes de empezar. ¿Empezarías una carrera sin saber dónde está la línea de meta? Por supuesto que no, ya que podría perder un tiempo y una energía preciosos yendo en la dirección equivocada. Del mismo modo, comenzar un proyecto de implantación de software GRC sin definir claramente una línea de meta -es decir, los criterios de éxito- puede provocar retrasos, confusión y desviación del alcance. Empiece con unos requisitos empresariales bien definidos que estén totalmente alineados con su organización. Estos requisitos impulsarán las especificaciones funcionales/técnicas y los criterios de prueba de aceptación del usuario y, en última instancia, medirán el éxito de su proyecto.
  2. No automatice un proceso roto. Por muy cómodo que se sienta con sus flujos de trabajo actuales, diseñar el nuevo sistema de GRC en torno a los métodos antiguos es un error costoso, aunque común. Personalizar en gran medida los nuevos flujos de trabajo de GRC para que imiten a los antiguos puede tener graves implicaciones, como la ampliación de los plazos de implementación, el aumento del alcance, los problemas de compatibilidad futuros y la imposibilidad de utilizar otras funciones estándar principales (o futuras). Los proveedores invierten innumerables horas y dólares en el desarrollo de estándares configurables basados en las mejores prácticas, por lo que hay que estar abierto a aprender cómo estos estándares pueden satisfacer los requisitos de su negocio.
  3. Comunicar, comunicar, comunicar. No dé por sentado que el proveedor sabrá automáticamente lo que quiere decir sin que usted se lo explique. Cuando se trata de una implementación exitosa, no existe tal cosa como demasiada comunicación. Discuta todos los problemas posibles en las primeras fases de la implantación y no tenga reparos en hacer preguntas o expresar sus preocupaciones. Incluso los problemas aparentemente pequeños pueden tener un gran impacto en el éxito de la implantación si no se abordan hasta las etapas posteriores, o peor aún, si no se abordan en absoluto.
  4. Las implementaciones exitosas son como un matrimonio. Al igual que en un matrimonio, tanto su empresa como el proveedor deben contribuir para que la unión tenga éxito. La comunicación y la confianza son esenciales, ambas partes deben rendir cuentas y habrá que trabajar duro para que la relación prospere. Si una de las partes se queda al margen, es posible que sus necesidades no se atiendan adecuadamente, lo que puede poner en peligro la implementación. Y si la relación se desequilibra demasiado, puede acabar en un desagradable divorcio.
  5. Sí, se necesita un gestor de proyectos designado. Si bien una implementación puede ser exitosa sin el rol de PM, sus probabilidades de éxito aumentan exponencialmente cuando un gerente de proyecto está involucrado. Coordinar todos los recursos y tareas durante una implantación de gran envergadura puede ser una tarea ardua. Algo tan sencillo como programar una reunión para varias personas en organizaciones distintas puede resultar difícil si el papel de PM se divide entre varios miembros del equipo de implementación. Contar con un único punto de contacto centraliza las comunicaciones, agiliza todas las actividades de implantación y mantiene a todo el mundo en el buen camino.
  6. Sé realista con tus otros compromisos de tiempo. Formar parte de un equipo de implantación puede ser sólo una de las muchas tareas que tiene que realizar. Sea realista sobre el tiempo que tiene disponible para dedicar al proceso de implantación y comunique al proveedor -y a los miembros del equipo- los demás compromisos o conflictos que tenga en cuanto se elabore el calendario base del proyecto.
  7. No hay que descuidar el proceso de pruebas. Por muy tentador que resulte acelerar las pruebas para cumplir con los plazos, no es el momento de recortar gastos. Pasar por alto o condensar las pruebas integrales de aceptación de usuarios puede acarrear montañas de problemas posteriores a la puesta en marcha, trabajo adicional y retrasos en los procesos empresariales. Una prueba de aceptación del usuario adecuada lleva tiempo, pero el esfuerzo adicional le ahorrará muchos dolores de cabeza en el futuro.
  8. Prepárate para lo inesperado. Por muy diligente que seas, es prácticamente imposible identificar y preparar todos los problemas posibles. Seguramente ocurrirá algo inesperado, pero el impacto suele depender más de cómo se reaccione que del problema en sí. Cuando un problema inesperado amenace con hacer descarrilar la implantación, trabaje de forma constructiva con su equipo para afrontarlo y seguir adelante. Y si eliges al proveedor adecuado, juntos podréis gestionar de forma experta cualquier sorpresa que surja.

Cómo construir un caso de negocio para el software GRC

Los consejos de administración y los directivos pueden reconocer que la tecnología de GRC proporcionará una mejor supervisión y mejorará el riesgo y el cumplimiento en general, pero siguen siendo reacios a asignar el presupuesto. El reto consiste en definir y medir el valor -coste, flexibilidad, eficiencia, eficacia- de una manera lo suficientemente significativa como para convencer a los que manejan los hilos del dinero.

El software GRC integrado estandariza los procesos, agiliza la recopilación de datos y refuerza la seguridad. La automatización de las tareas rutinarias permite al equipo de riesgos y cumplimiento pasar de la recopilación de datos al trabajo de mayor valor, como la investigación y la resolución de problemas. Los análisis incorporados y los datos centralizados proporcionan una visión fresca y basada en datos, identifican interdependencias que de otro modo habrían pasado desapercibidas y ofrecen una visión temprana de los indicadores de riesgo que pueden utilizarse para impulsar la visión estratégica.

Además, los informes en tiempo real extraen la historia de sus datos para tomar decisiones mejores y más rápidas. Los cuadros de mando también permiten un seguimiento continuo de los indicadores y métricas clave. En resumen, el software GRC integrado le proporciona datos concretos sobre el estado actual de su programa de riesgo y cumplimiento, dónde están sus puntos débiles y qué hay que hacer. Al alcance de la mano.

Dólares - y sentido
Aunque es difícil cifrar con exactitud el retorno de la inversión del software GRC integrado, hay formas de cuantificar el valor.

Para empezar, evalúe los recursos de personal que se ahorrarían con una mayor eficiencia y atribúyalos a un valor en dólares. Por ejemplo, si la automatización le ahorra 20 horas semanales por un salario que se desglosa en, digamos, $50 por hora, eso supone un ahorro de $1.000 por semana para la empresa. Si se multiplica esta cifra por el número de personas y horas ahorradas, el impacto de la automatización podría ser significativo. Esas horas extra pueden redirigirse a tareas que aporten más valor estratégico a la organización.

Por muy importante que sea esa cantidad, el verdadero valor del software de GRC reside en su capacidad para mejorar la toma de decisiones. Usted tiene una imagen clara de lo que está ocurriendo, por lo que puede decidir con confianza qué riesgos merece la pena asumir, y cuáles no.

Pero, ¿qué es lo que hablará más fuerte al liderazgo? En primer lugar, que no haya sorpresas. No hay nada que el consejo de administración y la dirección general odien más que verse sorprendidos por algo que deberían haber conocido.

Una plataforma GRC integrada pone todos los riesgos en su radar, lo que minimiza las sorpresas. Y luego está la visibilidad. Con el software de GRC integrado, cada riesgo se documenta y se presenta en el contexto de otros riesgos, así como de los objetivos de la organización.

Los principales líderes son muy conscientes de que la propia supervivencia de la organización puede depender de su capacidad para obtener acceso instantáneo a los datos de riesgo en tiempo real para informar de las decisiones estratégicas difíciles que impulsarán el éxito de la organización. Y con una estrategia de GRC bien planificada, respaldada por una tecnología de GRC integrada, por fin tendrá tanto la visibilidad para ver sus riesgos como la agilidad para esquivar los obstáculos para poder mantener su destino directo al éxito.