¿Qué es GRC?

Las competencias que ayudan a una organización a abordar la incertidumbre, a actuar con integridad y a lograr objetivos de forma fiable con una cultura que tiene en cuenta el riesgo.

El modelo de gobierno, riesgo y cumplimiento (GRC) proporciona a las organizaciones la confianza y las herramientas necesarias para desarrollar su actividad comercial sin sobrepasar los límites regulatorios. Demasiadas organizaciones carecen de programas de GRC bien definidos o suelen descuidar su financiación. Para tener éxito, las organizaciones deben mejorar la resiliencia y prepararse ante posibles interrupciones si quieren seguir siendo relevantes y generar valor.

El caso de negocio de GRC debe centrarse en mejorar la visibilidad del riesgo, alinear los esfuerzos de GRC con las prioridades de la empresa y desarrollar conocimientos con visión de futuro que permitan a las empresas actuar con rapidez y decisión.

Gobierno: los marcos de trabajo de las actividades de una organización y si están o no alineados con los objetivos empresariales. Las actividades incluyen los procesos, las estructuras y las políticas destinadas a gestionar y supervisar las actividades de la empresa.

Riesgo: un proceso continuo para abordar riesgos y mitigarlos mediante controles, así como para garantizar que se gestionen de acuerdo con las políticas establecidas. Incluye la medición, la evaluación, la contención, la supervisión y la identificación de los riesgos.

Cumplimiento: garantía de que las actividades de una organización se realizan conforme a las leyes y normativas.

  • Estratégico: propiedad y gobierno efectivos del riesgo que afectan a las estrategias empresariales.
  • Operativo: cualquier hecho que pueda detener, alterar o menoscabar las operaciones de una empresa y sus procesos.
  • Tecnológico: incluye el riesgo cibernético, además de los fallos en aplicaciones, bases de datos, infraestructuras y otros dispositivos conectados.
  • De datos: cuando la información es susceptible de robo o corrupción. La protección incluye salvaguardar la confidencialidad de los datos, garantizar su integridad y mantener su disponibilidad.
  • Cibernético: similar al riesgo tecnológico. Se refiere a la pérdida financiera, la interrupción del negocio o el perjuicio general para la reputación de una organización debido a fallos en la tecnología de la información.
  • Privacidad: la posibilidad de pérdida, divulgación no autorizada o robo de datos privados.
  • De reputación: el posible deterioro de la imagen de una organización debido a un cliente descontento, una filtración de datos, el fallo de un producto o una crítica negativa.
  • De terceros: garantizar que los proveedores, socios comerciales y cualquier afiliado tengan una postura adecuada respecto al riesgo y no afecten a la organización.
  • De cumplimiento/normativo: el grado en que el incumplimiento puede afectar a las obligaciones normativas.

  • Todas las partes interesadas de cualquier organización exigen un alto grado de transparencia, responsabilidad y rendimiento.
  • Las normas cambian constantemente de manera impredecible.
  • Las relaciones con terceros y los riesgos crecen exponencialmente, y ello dificulta la gestión.
  • No identificar los riesgos puede tener graves consecuencias.
  • El aumento de la eficiencia a través de GRC es esencial para el crecimiento empresarial.

GRC integrado, o la gestión de riesgos integrada, es un enfoque de amplio alcance para toda la empresa y proporciona a las organizaciones la capacidad de supervisar, gestionar y actuar conforme a los diferentes riesgos en tiempo real. La gestión de riesgos integrada constituye un aspecto importante para cualquier organización consciente del riesgo que puede ayudar a mejorar el rendimiento y la toma de decisiones.

Estrategia

Los gestores están en condiciones de tomar decisiones informadas y basadas en el riesgo para mantenerse en línea con los objetivos empresariales.

Integración

Las organizaciones obtienen una mejor comprensión de los riesgos y de su impacto en los resultados. Esto se comparte entre los diferentes departamentos y unidades de negocio, lo que puede contribuir a acabar con el aislamiento de información y a evitar una duplicación innecesaria.

Digitalización

GRC se integra en una única plataforma para permitir la automatización de procesos. Los flujos de trabajo se simplifican, la documentación se puede almacenar y se crea un marco de trabajo más estandarizado.

Las expectativas de los profesionales están evolucionando de tal forma que se hace necesario un enfoque integrado para gestionar los riesgos.

Una estrategia de GRC eficaz debe:

  • estar dirigida por los gerentes de la organización, como CISO, CRO, CIO, CFO, CEO, departamentos jurídicos, etc.;
  • tener una cultura centrada en el riesgo;
  • basarse en una plataforma moderna, integrada y con soporte en la nube;
  • integrarse fácilmente con otras tecnologías del ecosistema para recopilar datos;
  • facilitar el intercambio de datos para posibilitar un aprovechamiento cruzado de los datos comunes;
  • abordar el riesgo empresarial en toda la organización y en los ecosistemas de terceros;
  • crear flujos de trabajo orientados a la empresa y basados en procesos para analizar y tratar el riesgo;
  • integrar la información sobre el riesgo y los flujos de trabajo en herramientas diarias y operativas;
  • hacer el riesgo y el cumplimiento accesibles para cualquiera;
  • permitir la monitorización continua de riesgos y el control mediante el uso de indicadores de riesgo automatizados;
  • explicar el riesgo en términos empresariales a través de tableros de instrumentos centrados en la empresa;
  • aplicar todo esto de forma continua en los departamentos y grupos funcionales de toda la empresa, además de en las relaciones con los proveedores a fin de obtener una visión integral y en tiempo real del riesgo.

  • Puede haber un aumento de los costes.
  • Falta de visibilidad de los posibles riesgos.
  • Dado el tiempo que se precisa para elaborar los informes destinados a la junta directiva, los datos van quedando obsoletos a lo largo del proceso, lo que impide a los directivos y a la junta directiva aplicar una dirección y un escrutinio adecuados.
  • Los riesgos de terceros no se abordan correctamente.
  • Es difícil medir el rendimiento ajustado al riesgo.
  • Hay demasiados resultados negativos que dan lugar a:
    1. problemas de auditoría
    2. sanciones de cumplimiento
    3. costes de remediación de infracciones
    4. pérdida de clientes
    5. deterioro de la reputación
  • Sin una comunicación adecuada, las personas pierden el tiempo con cuestiones no prioritarias.
  • Pérdida de productividad debido a procesos onerosos.
  • Una experiencia de usuario compleja e incómoda perjudica al negocio y genera desinterés en los empleados de primera línea.
  • Incapacidad para colaborar eficazmente en todos los departamentos.

Un GRC eficaz establece un enfoque que garantice que las personas adecuadas obtengan la información necesaria cuando sea pertinente, se fijen objetivos y se establezcan los controles debidos para abordar situaciones inciertas y actuar. Un proceso de GRC correcto aporta los siguientes beneficios:

  • Menores costes gracias a la automatización y la reducción de la probabilidad de sanciones derivadas de los resultados de auditorías y del incumplimiento de normativas.
  • Reducción del riesgo asociado a los proveedores.
  • Más capacidad para adaptarse a los cambios en modelos empresariales, a los riesgos asociados a la transformación digital o a las nuevas normativas.
  • Menor impacto en las operaciones: la mejora de la eficiencia permite a las organizaciones hacer más con menos.
  • Mayor capacidad para escalar y hacer crecer el negocio.
  • Mejora de la obtención de información de calidad de forma rápida y eficiente de empleados y proveedores.
  • Acceso optimizado a la información sobre riesgos en toda la empresa con un único repositorio.
  • Mayor capacidad para repetir procesos de manera coherente.
  • Aumento de la productividad al eliminar tareas repetitivas y redundantes.
  • Comunicación eficaz con las partes interesadas en toda la empresa, con los directivos y con la junta directiva.
  • Toma de decisiones estratégica a partir de datos de riesgos en tiempo real y capacidad para calcular el impacto sobre la empresa.
  • Ventaja competitiva: los clientes saben que existe un plan para abordar los riesgos, lo cual reduce la posibilidad de cometer una infracción y supone una mejor protección de sus datos.

Aunque no existe una solución GRC única capaz de garantizar un modelo de gobierno, riesgo y cumplimiento eficaz para todas las organizaciones, la mayoría comparte componentes comunes. A continuación, se presentan algunas funciones y factores esenciales que se encuentran en la mayoría de las plataformas de GRC.

  • Controles
  • Flujos de trabajo
  • Repositorios centrales de datos
  • CMDB para derivar el impacto empresarial
  • Indicadores de riesgo
  • Ciclo de vida de políticas
  • Biblioteca de documentos de autoridades
  • Movilidad
  • Bots de chat
  • Integraciones de OOTB con terceros

  • Gestión de políticas
  • Cumplimiento de normativas
  • Gestión de riesgos digitales y tecnológicos
  • Gestión de riesgos de terceros
  • Gestión de auditorías
  • Gestión de la resiliencia y la continuidad
  • Gestión de la privacidad

Primeros pasos con Governance, Risk, and Compliance de ServiceNow

Gestiona el riesgo y la resiliencia en tiempo real con ServiceNow.