Herramientas tecnológicas para la gestión de GRC

Gestión de GRC

Un componente primordial de GRC – acrónimo que alude al gobierno corporativo, gestión de riesgos y cumplimiento – es el atinente a la tecnología. GRC es un modelo de capacidad que permite a una organización lograr los objetivos abordando la incertidumbre y actuando con integridad. Partes importantes de este tópico recaen en el diagnóstico, implementación y tecnología. En este artículo nos centraremos en el último punto.

El software que empleemos para la gestión de GRC amerita datos que deben ser analizados constantemente para conocer cómo nos encaminamos hacia nuestros objetivos y si existen eventos, condiciones y comportamientos no deseados.

También es pertinente establecer múltiples vías para obtener información: definir oportunidades para obtener opiniones de las partes interesadas sobre la acción y controlar las debilidades, el desempeño, variaciones, incidentes, denuncias, sospechas de incumplimiento legal y normativo, violaciones de la empresa, políticas y preocupaciones o percepciones sobre conductas observadas como poco éticas.

Desarrollar la arquitectura de tecnología

El uso de la tecnología va más allá de la utilización de un software particular, también requiere levantar todo un aparataje digital.

Esto implica:

• Identificar los controles de procesos clave que son menos propensos a errores y más eficientes si están habilitados por tecnología.
• Comprender el entorno tecnológico existente y sobre todo la cultura de la organización.
• Asignar requisitos de funcionalidad a capacidades existentes.
• Identificar redundancias en soluciones tecnológicas existentes.
• Identificar los requisitos funcionales no satisfechos.
• Establecer permisos que permitan la confidencialidad de los datos.
• Priorizar y determinar qué soluciones tecnológicas deben compartir información, o
• Desarrollar / almacenar información fácilmente combinada o comparada.
• Decidir qué soluciones existentes pueden y deben mejorarse o ampliarse para aplicarse a necesidades similares.
• Decidir qué nuevas soluciones deben complementar o reemplazar las soluciones existentes, y ya sea para construir o comprar nuevas soluciones identificadas.

Enfoque integrado en 4 pasos

El sistema debe ser alimentado con datos que pueden ser obtenidos a través de encuestas, canales de denuncias, auditorías de control interno, resultados de gestión, y demás proceso dispuestos para la recolección de la información sobre el desempeño basado en principios. El hecho de lograr un enfoque integrado para realizar levantamiento de la información del desempeño basado en principio hasta donde llegue el alcance del modelo de capacidad de GRC implementado, puede reducir la carga sobre los colaboradores y brinda una vista consolidada de la información obtenida de las partes interesadas.

La autoevaluación también amerita un enfoque integrado para conocer el desempeño, el riesgo, el cumplimiento, responsabilidades y resultados con otras autoevaluaciones impuestas a la dirección. Tras haber cumplido con esos dos pasos, lo siguiente sería recopilar información a través de observaciones reuniones de grupo, grupos focales y conversaciones individuales. Acto seguido, compete registrar en la plataforma tecnológica todos los hallazgos.

En los comienzos de GRC, existían entregables y documentos que debían ser creados y mantenidos por las capacidades integradas. Gracias al auge tecnológico, la información existente en formato físico puede encontrarse en bases de datos digitales que permitan varios informes y vistas a la vez y facilite y la organización de los datos, posibilitando diversos usos, incluida la evaluación de la capacidad.

Una vez creadas las bases de datos, se debe analizar los flujos de información, de acciones y de responsables y aplicar BPMN para la generación de diagramas de flujo, que por medio de un sistema puedan transitar la información a distintos colaboradores que vayan aportando datos de forma incremental y al final de un circuito conocer el estado de un proceso, generar registros o permitir que se tomen decisiones basada en la cooperación con ese flujo de datos.

Fig. 1 Flujograma de conflicto de interés para ser utilizado en una BMPN

Fig. 2 Formularios para la captación de información

Fig. 3 Salida de una Workflow para la toma de acciones

Crear un vocabulario común para los controles tecnológicos

Unificar criterios sirve para que todos los involucrados sepan cuáles son los objetivos y los pasos a seguir. Para lograrlo necesitamos establecer controles de tecnología proactivos que incluyan:

• Controles de acceso a aplicaciones que limitan el acceso a sistemas, aplicaciones y repositorios de información.
• Controles de acceso físico que limitan el acceso a componentes de tecnología física como redes, servidores y estaciones de trabajo.
• Controles de configuración que impiden o restringen cambios en el hardware, el sistema y configuraciones de aplicación.
• Controles de datos maestros que evitan o restringen cambios en la información almacenada en la fuente de datos.
• Utilizar mecanismos (credenciales electrónicas o manuales) para distinguir entre mano de obra, visitantes y personas desconocidas en las instalaciones de la organización para que las personas o los sistemas puedan detectar presencia o actividades inapropiadas o no autorizadas.

Monitoreo de los indicadores de control de tecnología

Un monitoreo de los indicadores de control de tecnología es útil para detectar e identificar faltas de conducta reales o potenciales o incumplimiento, incluidos los aplicados a: acceso físico y vigilancia, controles de acceso al sistema, controles de datos maestros, controles de transacciones, controles operativos, seguimiento de auditoría y análisis de registros, actividades de prueba, informes de desempeño e informes de riesgo, estado y progreso de la iniciativa.

Asimismo, la tecnología que usemos debe ser capaz de ayudarnos a identificar fuentes y fuerzas tecnológicas, incluyendo:

• Velocidad de cambio
• Disponibilidad y costo de los recursos informáticos, la información y la comunicación.
• Procesos y materiales industriales mejorados
• Cambios en el transporte y la distribución.

Guía de soluciones tecnológicas

La organización también podría desarrollar su propia guía de soluciones tecnológicas de GRC, lo que ofrece una experiencia personalizada y acorde a los requerimientos de la empresa.

La guía, además, define categorías de soluciones para las capacidades de GRC y las asigna a roles de usuario y procesos / funciones empresariales típicos para ayudar a los propietarios de procesos GRC y los profesionales de tecnología de la información comprenden y habilitan mejor la tecnología apoyo.

Software GRCTools de ESG Suite

Las organizaciones para su mejora, hacen uso de herramientas tecnológicas como GRCTools de ESG Suite para la gestión de Gobierno, Riesgo y Cumplimiento (GRC). 

Con el software GRCTools de ESG Suite, ningún proceso está sin controlar ya que permite identificar y administrar los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.

Además, con GRCTools las organizaciones pueden realizar la gestión del ciclo de vida de los riesgos. Desde el establecimiento de su contexto, su identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.