Gobernanza, riesgo y cumplimiento en la estrategia de TI
¿Cómo GRC coordina la gobernanza, el riesgo y el cumplimiento de la estrategia de TI para crear una organización más receptiva y transparente?
La gobernanza, la gestión de riesgos y el cumplimiento no siempre se gestionan en conjunto, a veces se administran de forma separada por distintos equipos de personas. Eso suele resultar en controles redundantes, múltiples variaciones en un proceso y, en algunos casos, protección inadecuada contra amenazas. Sin embargo, la eficiencia es una necesidad cuando los recursos son escasos y los riesgos son grandes.
¿Qué es GRC?
GRC son las siglas que significan Gobernanza, Riesgo y Cumplimiento; se refiere a la coordinación de las personas, los procesos y las tecnologías involucradas en cada una de estas áreas en una empresa. GRC tiene como objetivo proporcionar una mejor visibilidad de la postura de riesgo de una empresa. La gobernanza, la gestión de riesgos y el cumplimiento no son disciplinas nuevas, pero la necesidad de un enfoque para toda la empresa incluye los crecientes costos del cumplimiento, las demandas legales y de los accionistas por una mayor responsabilidad de la alta dirección y la rápida proliferación de nuevos riesgos.
“El cumplimiento funciona mejor cuando utiliza técnicas de gestión de riesgos para reducir no solo la responsabilidad, sino también las pérdidas. La gestión de riesgos funciona mejor cuando la gobernanza requiere que identifique los riesgos que se deben asumir y los riesgos que se deben evitar. Y la gobernanza se basa en la gestión de riesgos y las actividades de cumplimiento para proporcionar información oportuna sobre el estado y la exposición a pérdidas de la organización”, dijo un analista de Burton, Trent Henry.
GRC va más allá de los silos para colocar la gestión de riesgos en el tejido de la organización, pero sigue siendo un desafío porque muchas empresas carecen de un lenguaje común para el riesgo.
¿Quién o qué se ve afectado por GRC?
Todos en la organización. Cada individuo tiene implicaciones de riesgo. Dicho esto, la responsabilidad de la gobernanza recae en la alta dirección ejecutiva. La gobernanza crea transparencia empresarial (y valor empresarial) mediante el establecimiento de procedimientos estándar. Además del CEO y la junta directiva, los responsables de la formulación de políticas pueden incluir al director financiero, los directores de riesgos, los CIO y auditoría. La responsabilidad del gobierno de TI, una disciplina técnica, recae en el CIO.
La responsabilidad de la gestión de riesgos es compartida por los ejecutivos de la unidad de negocio, el CIO y el CFO. Las políticas y herramientas para gestionar los riesgos de seguridad física y personal, así como los riesgos financieros, se han desarrollado durante siglos. TI agrega otra dimensión a los riesgos, así como la remediación.
La gestión de riesgos empresariales (ERM) alinea el rendimiento y el riesgo con las metas y los objetivos del negocio. ERM se puede aplicar en toda la empresa o para cumplir con los objetivos de un solo departamento, como TI. Si bien ERM tiene muchos de los mismos objetivos que GRC, no es un sustituto de GRC.
La responsabilidad del cumplimiento es compartida por muchos ejecutivos, generalmente a nivel de vicepresidente. Los recursos humanos, auditoría, asesoría corporativa y el CIO están involucrados en la comprensión de los requisitos de cumplimiento. El objetivo en GRC es, en primer lugar, coordinar esos esfuerzos y procesos de cumplimiento, y segundo, pasar a un enfoque de cumplimiento más basado en el riesgo.
La mayoría de las personas encargadas del cumplimiento lo consideran un requisito, no un riesgo, pero el cumplimiento no debería estar exento de las limitaciones económicas que obligan a todas las demás partes del negocio a calcular los riesgos frente a los beneficios de sus inversiones. Dice el proverbio: 'no gastes un millón de dólares para solucionar un problema de $500'. Las organizaciones deben adoptar un enfoque de cumplimiento basado en el riesgo, y GRC les ayudará a hacerlo.
Cabe destacar que cada organización debe determinar el alcance de GRC para su tipo de negocio. Es necesario un conjunto de controles, pero los marcos rígidos complican la administración. Las empresas tienen que averiguar cuál es su nivel de tolerancia para la cantidad de estructura que van a tener. GRC, entonces, permite implementar sistemas de construcción para identificar y mitigar el riesgo mientras se asegura el cumplimiento, lo que incide en cómo se hacen las cosas, es decir, la gobernanza".
Averiguar quién es el propietario de qué parte del proceso de gobierno, riesgo y cumplimiento puede ser una lucha, y lograr que todos los grupos trabajen juntos es un desafío a resolver.
¿Cuál es el papel de TI en la implementación de GRC?
El área de TI juega dos roles en GRC. TI debe lidiar con sus propios riesgos internos: violaciones de datos, privacidad, gobierno interno de datos, etc. Además, TI debe desempeñar un papel en GRC a nivel empresarial, implementando las herramientas que ayudarán con el flujo de información. TI, por ejemplo, ayudará a diseñar las aplicaciones y plataformas para realizar evaluaciones de riesgo y capacitar a los empleados y extraer la información de los sistemas de toda la empresa que miden el riesgo.
Sin embargo, la tarea de crear las reglas y responsabilidades del programa GRC (quién va a participar, con qué frecuencia realizar las evaluaciones, entre otras cosas) deben ser decisiones tomadas por la junta y el nivel directivo, no por TI. Si la estrategia de GRC no proviene del directorio, el director general, el director financiero y el director de riesgos, será un programa muy limitado.
¿Cuáles son los marcos más importantes?
Algunos expertos señalan dos marcos importantes para GRC: COSO y los Objetivos de Control para la Información y Tecnología relacionada, o COBIT.
Cinco importantes asociaciones contables formaron el Comité de Organizaciones Patrocinadoras en 1985 para abordar los factores que conducen a informes financieros fraudulentos y desarrollar una guía sobre controles internos. COBIT es un estándar abierto internacional que define los requisitos para el control y la seguridad de los datos sensibles y proporciona un marco de referencia. Sigue siendo ampliamente aceptado y utilizado por auditoría para revisiones.
Al final, cabe recordar que un marco es un enfoque estructurado del sentido común. Si ya se cuenta con sistemas para identificar, mitigar, monitorear y administrar el riesgo, entonces se tiene un marco. GRC se trata más de combinar las mejores prácticas de auditoría, cumplimiento y riesgo. Otros estándares que pueden ayudar a las organizaciones incluyen COSO, ERM e ISO 31000, además de los estándares internacionales de gobernanza, riesgo y cumplimiento desarrollados por el Open Compliance & Ethics Group (OCEG).