Por qué es necesaria una Plataforma GRC?

Innumerables y sonados fracasos en la Gestión del Gobierno Corporativo, el Riesgo y el Cumplimiento Normativo, continúan plagando el mundo de los negocios y tanto el impacto como la visibilidad de éstos fracasos continúa creciendo de forma consistente a pesar del amplio conocimiento existente acerca del valor que esconde la fiabilidad y la reputación para los negocios.

Desde sonadas bancarrotas en los servicios financieros pasando por desastres medioambientales y retiradas masivas de productos por problemas de salud pública hasta avergonzantes pérdidas de información confidencial, inversores, ejecutivos, directivos, empleados, proveedores y clientes buscan asegurar que su empresa no sea la próxima en ser cazada con los “pantalones bajos”.

MetricStream. Zaplet Marketplace

1st Place – MetricStream. Zaplet Marketplace

La creciente presión reguladora, el reconocimiento del valor/impacto de la reputación en la viabilidad empresarial, sumado a los costes involucrados en asegurar el cumplimiento, hacen que muchos profesionales miren hacia las sistemas de gestión de Gobierno empresarial, el Riesgo Corporativo y el Cumplimiento Normativo (G.R.C.) para dotarse del nivel de soporte, visibilidad y control requeridos.

Qué son las Plataformas GRC?

Artículo relacionado: ¿Qué es una plataforma de Gobierno, Riesgo y Cumplimiento?

Las Plataformas integradas de GRC son el estado del arte de la gestión de la gobernanza corporativa, visibilidad, integración, control e integridad y auditoría de los procesos operativos. Esto adquiere especial relevancia en la gestión de las excepciones, eventos y desviaciones de las políticas corporativas que tienen, hoy más que nunca, riesgos potenciales para la reputación y la viabilidad de las operaciones empresariales.

El amplísimo abanico de normas y reglamentos impuestos desde el exterior que requieren vigilancia, sumado al apetito de riesgo, códigos de conducta autoimpuestos por cada organización y vigilancia social sin precedentes, conforman una amplísima gama de políticas y controles que requieren, dada su vital importancia, de una gestión integrada y altamente operativa, tanto horizontalmente (organización) o verticalmente (funciones) como de visibilidad al máximo nivel organizacional.

Desde el punto de vista TIC, esto requiere la definición de una arquitectura (datos, herramientas, métodos, controles, tecnologías, etc.) que eliminen redundancias y costes innecesarios, aseguren la integración, integridad y privacidad de la información generada y faciliten la gestión del riesgo y la toma de decisiones tanto desde un punto de vista estratégico comom operativo, al tiempo que disuadan de acciones fuera del marco ético y limites de riesgo establecidos.

Estas herramientas, existen todas y no son especialmente complejas, individualmente. La clave estriba en que al tener un alcance corporativo (múltiples departamentos, múltiples procesos, múltiples centros de trabajo y diferentes idiomas o leyes aplicables), deban ser seleccionadas, adaptadas y utilizadas dentro de un modelo amplio, estandarizado, fluido e integrador a nivel de información y objetivos. Esto no sugiere evitar las implantaciones departamentales, pero si disponer de un plan de integrador sobre todas las actividades y datos relacionados con el control operativo.

En términos algo más técnicos, esto se traduce en una arquitectura de capas o servicios únicos para toda la empresa, a los cuales se van conectando diversos módulos que heredan las características y servicios comunes de los anteriores. De esta manera se dota a la instalación de la flexibilidad, estandarización, integridad, escalabilidad y unicidad de información necesarias, al tiempo que se contienen los costes y se crece paulatinamente según las áreas de riesgo que se consideren más importantes a nivel corporativo.

Qué consideraciones de Arquitectura deben hacerse?

Estratégicamente, nuestra recomendación es procurar adoptar la solución que disponga de un conjunto de herramientas-módulos, a modo de suite, que utilicen el mismo motor de gestión documental (DMS-ECM), de gestión de los flujos de trabajo, aprobación y escalado (Workflow-BPM), de gestión de eventos o control de límites en procesos de negocio, de base de datos, de integración/comunicación, etc., orientados, por diseño, al GRC. Esto facilita enormemente ampliaciones de alcance posteriores. Al mismo tiempo reduce costes, complejidades y errores propios de las redundancias o de los sistemas dispares. Asimismo, dada su naturaleza de visibilidad, tiempo real y control, sumado al hecho de ser de los últimos sistemas en incorporarse a la arquitectura empresarial, las capacidades de integración o coexistencia con los sistemas clave ya implantados en la empresa es otro aspecto no menos importante a tener en cuenta.

Dado que amén de los elementos generales y comunes, una demostrada habilidad y simplicidad  en la adaptación a las necesidades del modelo operativo de cada empresa, son otro elemento clave a tener en cuenta. MetricStream incorpora AppStudio® en su plataforma que permite a usuarios avanzados de la solución hacer aquellas adaptaciones que consideren necesarias.

Este tipo de soluciones, las de visibilidad y control, requieren la existencia de su sistema central de gestión y agregación (Risk & Compliance layer) y de visualización y análisis (Governance layer) junto con el demostrado control de los dominios en módulos funcionales y de control que se consideren prioritarios o reglamentarios, según cada industria (GRC Support layer).

Características de la Plataforma MetricStream

Cómo afecta el GRC a las Operaciones TIC?

Es importante tener en cuenta que TODA esta operación está, además, sometida por reglamentos y normas relacionadas con la seguridad, la integridad y la privacidad. Es por ello que la organización debe ser capaz de asegurar el cumplimiento de los mínimos de la ISO 27001-17799 (SGSI) y de prácticas estándar de servicio como ITIL v3, o similar. En caso que la organización no pueda demostrar este nivel de cumplimento y madurez en su modelo interno de gestión de la información y dada la criticidad e impacto potencial, se recomienda evaluar la posible externalización de la operación y control de éste sistema con SLA’s (Service Level Agreement), con adecuadas garantías operativas, de seguridad y legales, incluso en fases más avanzadas.