Simplificando el proceso de elección de un software de GRC
ShareCompartir

Simplificando el proceso de elección de un software de GRC

Publicado en 24 de June de 2019

Existen varias organizaciones que comparan funcionalidades de software para GRC (Gobernanza, Riesgos y Conformidad). Entre las más conocidas está Gartner, que divulga regularmente  su ya conocido cuadrante mágico, y OCEG (The Open Compliance and Ethics Group), que divulga un informe sobre tecnologías en el área de GRC.

Pero antes de hablar sobre software, precisamos entender de hecho lo que es GRC.

¿Qué es de hecho GRC?

Claro que todos rápidamente consiguen desvendar el acrónimo GRC. Pero el simple entendimiento de esas palabras no llega ni cerca de explicar su concepto como un todo.

Aunque el “inventor” de esta sigla no sea reconocido por unanimidad, una definición que encuentro interesante es la de OCEG. En realidad, presentan más que una definición, sino toda una página explicativa. Aquí dejo algunos trechos que ayudan en el entendimiento:

GRC es la colección integrada de recursos que permite que una organización alcance objetivos de manera confiable, resuelva las incertidumbres y actúe con integridad.

GRC como un acrónimo denota GOBERNANZA, RIESGO y CONFORMIDAD – pero la historia completa de GRC es mucho más que esas tres palabras.

El acrónimo GRC fue inventado como una referencia abreviada para los recursos críticos que deben trabajar juntos para alcanzar el Desempeño con Principios – los recursos que integran la gobernanza, gestión y garantía de desempeño, riesgos y actividades de conformidad.

Eso incluye el trabajo hecho por departamentos como auditoría interna, conformidad, riesgos, jurídico, finanzas, TI, RRHH, bien como las líneas de negocios, equipo ejecutivo y el propio consejo.

 Todo tiene que ver con alcanzar los objetivos que agregarán valor al negocio. La gobernanza incluye el establecimiento de objetivos y estrategias, la gestión de la organización por medio de tomas de decisión informadas e inteligentes, la medición y la monitorización del desempeño y mucho más. La jornada para el éxito tiene que incluir la anticipación y la gestión de lo que puede suceder (Riesgo) mientras se actúa con integridad (Conformidad). Cada parte de la organización tiene que trabajar en conjunto, en armonía y con objetivos compartidos, para que el potencial de la empresa sea realizado.

ARTÍCULO RELACIONADO

El papel de la gestión de riesgos y auditorías internas en el gobierno corporativo

La dificultad en la elección de un software de GRC

Pocas soluciones y plataformas de GRC presentan alguna funcionalidad significativa alrededor de la definición y comunicación de objetivos y estrategias (eso sin hablar en la integración de los riesgos y en la medición del desempeño con relación a esos objetivos y estrategias). En otras palabras, ellas realmente no suministran informaciones sobre qué tan bien estamos yendo con relación a nuestros objetivos, y lo que estamos haciendo para garantizar que sean alcanzados.

Es mucho más que agregar riesgos a un informe con indicadores de desempeño. Es sobre entender la probabilidad de que alcancemos nuestros objetivos.

La mayoría de las soluciones piensa en GRC como la atención de necesidades relacionadas a un subconjunto de GRC como, por ejemplo, la combinación de:

  • Gestión de riesgos
  • Gestión de políticas y procedimientos
  • Algunos aspectos de conformidad
  • Auditoría interna

Pero en algunos casos, aún hasta la combinación de esos elementos puede no hacer sentido. Lo que precisa estar claro es que el punto de encuentro precisa ser el desempeño global de la organización, qué elementos agregan valor para que los objetivos estratégicos sean alcanzados.

Ese es un análisis que precisa ser hecho de forma individual y honesta. Y las conclusiones pueden ser (y en la mayoría de los casos serán) diferentes para cada organización. En una, la auditoría interna puede tener un papel importantísimo, pues los controles precisan ser altamente precisos y eficaces. En otra el cumplimiento de políticas a través de procesos y procedimientos automatizados puede ser crucial para el desempeño.

Con eso en mente, la elección de un software de GRC puede volverse más simple y traer mejores resultados.

Recomendaciones para elegir un software de GRC

  • Compre el software que atienda las necesidades de su organización, no necesariamente el atribuido como GRC y con la clasificación más alta de los analistas. Es improbable que las necesidades de su organización sean iguales a los criterios usados ​​por los analistas.
  • Entienda cómo usted desea que los varios procesos de negocios funcionen en el corto y en el largo plazo y, a continuación, cómo pueden ser mejorados por la tecnología. Haga eso concentrándose primero en funciones individuales (como gestión de riesgos) en lugar de querer analizar varias funciones al mismo tiempo.
  • En donde haga sentido comprar una solución que atienda las necesidades de más de una organización, en donde la integración tenga un valor claro, haga eso. Pero no busque la integración a costa de la eficiencia y eficacia de las partes individuales.
  • No permita que las funcionalidades tengan influencia indebida en la adquisición de tecnología. Los propietarios de las partes de la organización en que la tecnología agregaría más valor al negocio como un todo deben tener la mayor influencia. (Eso para evitar que, por ejemplo, la falta de funcionalidades para auditoría interna impida la adquisición de la mejor tecnología para gestión de riesgos.)
  • Involucre a todas las áreas que tendrán responsabilidades en el proceso de GRC. la Alineación y consenso de expectativas puede ser una tarea difícil, pero precisa ser hecha en este momento.

SoftExpert GRC

SoftExpert GRC es una solución web que ofrece soporte a los procesos de gobernanza, gestión de riesgos y conformidad en la organización. Permite que las organizaciones integren efectivamente la ejecución de la estrategia de negocios con las prácticas de conformidad y gestión de riesgos. Como resultado, los gestores trabajan para el alcance de sus metas teniendo el soporte de la gestión de riesgos y garantizando conformidad con las políticas corporativas, leyes y reglamentaciones, como SOXCOSOCOBITISO 31000 entre otras.

Sepa más acerca de SoftExpert GRC

Sobre el autor
Tobias Schroeder

Tobias Schroeder

MBA en Gestión Estratégica en la UFPR. Analista de negocio y de mercadeo en SoftExpert, proveedora de software para automatización y mejora de procesos de negocio, conformidad reglamentaria y gobernanza corporativa.

También puede interesarte:

Logo SoftExpert Suite

La solución empresarial más completa para la gestión integrada del cumplimiento, la innovación y la transformación digital