¿Qué es GRC?

Gobierno: los marcos de trabajo de las actividades de una organización y si están o no alineados con los objetivos empresariales. Las actividades incluyen los procesos, las estructuras y las políticas destinadas a gestionar y supervisar las actividades de la empresa.

Riesgo: un proceso continuo para abordar riesgos y mitigarlos mediante controles, así como para garantizar que se gestionen de acuerdo con las políticas establecidas. Incluye la medición, la evaluación, la contención, la supervisión y la identificación de los riesgos.

Cumplimiento: garantía de que las actividades de una organización se realizan conforme a las leyes y normativas.

• Estratégico: propiedad y gobierno efectivos del riesgo que afectan a las estrategias empresariales.
• Operativo: cualquier hecho que pueda detener, alterar o menoscabar las operaciones de una empresa y sus procesos.
• Tecnológico: incluye el riesgo cibernético, además de los fallos en aplicaciones, bases de datos, infraestructuras y otros dispositivos conectados.
• De datos: cuando la información es susceptible de robo o corrupción. La protección incluye salvaguardar la confidencialidad de los datos, garantizar su integridad y mantener su disponibilidad.
• Cibernético: similar al riesgo tecnológico. Se refiere a la pérdida financiera, la interrupción del negocio o el perjuicio general para la reputación de una organización debido a fallos en la tecnología de la información.
• Privacidad: la posibilidad de pérdida, divulgación no autorizada o robo de datos privados.
• De reputación: el posible deterioro de la imagen de una organización debido a un cliente descontento, una filtración de datos, el fallo de un producto o una crítica negativa.
• De terceros: garantizar que los proveedores, socios comerciales y cualquier afiliado tengan una postura adecuada respecto al riesgo y no afecten a la organización.
• De cumplimiento/normativo: el grado en que el incumplimiento puede afectar a las obligaciones normativas.

• Todas las partes interesadas de cualquier organización exigen un alto grado de transparencia, responsabilidad y rendimiento.
• Las normas cambian constantemente de manera impredecible.
• Las relaciones con terceros y los riesgos crecen exponencialmente, y ello dificulta la gestión.
• No identificar los riesgos puede tener graves consecuencias.
• El aumento de la eficiencia a través de GRC es esencial para el crecimiento empresarial.

Una estrategia de GRC eficaz debe:

• estar dirigida por los gerentes de la organización, como CISO, CRO, CIO, CFO, CEO, departamentos jurídicos, etc.;
• tener una cultura centrada en el riesgo;
• basarse en una plataforma moderna, integrada y con soporte en la nube;
• integrarse fácilmente con otras tecnologías del ecosistema para recopilar datos;
  
• facilitar el intercambio de datos para posibilitar un aprovechamiento cruzado de los datos comunes;
• abordar el riesgo empresarial en toda la organización y en los ecosistemas de terceros;
• crear flujos de trabajo orientados a la empresa y basados en procesos para analizar y tratar el riesgo;
• integrar la información sobre el riesgo y los flujos de trabajo en herramientas diarias y operativas;
• hacer el riesgo y el cumplimiento accesibles para cualquiera;
• permitir la monitorización continua de riesgos y el control mediante el uso de indicadores de riesgo automatizados;
• explicar el riesgo en términos empresariales a través de tableros de instrumentos centrados en la empresa;
• aplicar todo esto de forma continua en los departamentos y grupos funcionales de toda la empresa, además de en las relaciones con los proveedores a fin de obtener una visión integral y en tiempo real del riesgo.

• Puede haber un aumento de los costes.
• Falta de visibilidad de los posibles riesgos.
• Dado el tiempo que se precisa para elaborar los informes destinados a la junta directiva, los datos van quedando obsoletos a lo largo del proceso, lo que impide a los directivos y a la junta directiva aplicar una dirección y un escrutinio adecuados.
• Los riesgos de terceros no se abordan correctamente.
• Es difícil medir el rendimiento ajustado al riesgo.
• Hay demasiados resultados negativos que dan lugar a:
  
  1. problemas de auditoría
  2. sanciones de cumplimiento
  3. costes de remediación de infracciones
  4. pérdida de clientes
  5. deterioro de la reputación
• Sin una comunicación adecuada, las personas pierden el tiempo con cuestiones no prioritarias.
• Pérdida de productividad debido a procesos onerosos.
• Una experiencia de usuario compleja e incómoda perjudica al negocio y genera desinterés en los empleados de primera línea.
• Incapacidad para colaborar eficazmente en todos los departamentos.

Un GRC eficaz establece un enfoque que garantice que las personas adecuadas obtengan la información necesaria cuando sea pertinente, se fijen objetivos y se establezcan los controles debidos para abordar situaciones inciertas y actuar. Un proceso de GRC correcto aporta los siguientes beneficios:

• Menores costes gracias a la automatización y la reducción de la probabilidad de sanciones derivadas de los resultados de auditorías y del incumplimiento de normativas.
• Reducción del riesgo asociado a los proveedores.
• Más capacidad para adaptarse a los cambios en modelos empresariales, a los riesgos asociados a la transformación digital o a las nuevas normativas.
• Menor impacto en las operaciones: la mejora de la eficiencia permite a las organizaciones hacer más con menos.
• Mayor capacidad para escalar y hacer crecer el negocio.
• Mejora de la obtención de información de calidad de forma rápida y eficiente de empleados y proveedores.
  
• Acceso optimizado a la información sobre riesgos en toda la empresa con un único repositorio.
  
• Mayor capacidad para repetir procesos de manera coherente.
• Aumento de la productividad al eliminar tareas repetitivas y redundantes.
• Comunicación eficaz con las partes interesadas en toda la empresa, con los directivos y con la junta directiva.
• Toma de decisiones estratégica a partir de datos de riesgos en tiempo real y capacidad para calcular el impacto sobre la empresa.
• Ventaja competitiva: los clientes saben que existe un plan para abordar los riesgos, lo cual reduce la posibilidad de cometer una infracción y supone una mejor protección de sus datos.

Aunque no existe una solución GRC única capaz de garantizar un modelo de gobierno, riesgo y cumplimiento eficaz para todas las organizaciones, la mayoría comparte componentes comunes. A continuación, se presentan algunas funciones y factores esenciales que se encuentran en la mayoría de las plataformas de GRC.

• Controles
  
• Flujos de trabajo
• Repositorios centrales de datos
• CMDB para derivar el impacto empresarial
• Indicadores de riesgo
• Ciclo de vida de políticas
• Biblioteca de documentos de autoridades
• Movilidad
• Bots de chat
• Integraciones de OOTB con terceros

• Gestión de políticas
• Cumplimiento de normativas
• Gestión de riesgos digitales y tecnológicos
• Gestión de riesgos de terceros
• Gestión de auditorías
• Gestión de la resiliencia y la continuidad
• Gestión de la privacidad