Software de gobernanza, gestión de riesgos y cumplimiento o GRC
El software de GRC (gobernanza, gestión de riesgos y cumplimiento) permite a las empresas de capital abierto integrar y gestionar las operaciones de TI que están sujetas a regulación. Este tipo de software generalmente combina las aplicaciones que gestionan las funciones básicas de GRC en un solo paquete integrado.
Asimismo, el software de GRC permite a una organización adoptar un enfoque sistemático y organizado para la gestión e implementación de estrategias relacionadas con GRC. En lugar de guardar los datos en diferentes "silos", los administradores pueden utilizar un marco único para monitorear y hacer cumplir las reglas y procedimientos. Las instalaciones exitosas permiten a las organizaciones gestionar el riesgo, reducir los costos causados por varias instalaciones y minimizar la complejidad para los administradores.
La implementación del software de GRC normalmente implica instalaciones complejas, que incluyen la coordinación de los datos entre múltiples departamentos, incluyendo negocios, TI, seguridad, cumplimiento y auditoría. Una vez instalado, sin embargo, los cuadros de mando y las herramientas de análisis de datos permiten a los administradores identificar la exposición al riesgo de la organización, medir el progreso hacia las metas trimestrales o rápidamente reunir una auditoría de la información. El buen gobierno, que se define como la gestión efectiva y ética de una empresa a nivel ejecutivo, se trata como un bien objetivamente medible. La retención de datos y la gestión de riesgos se convierten en indicadores medibles de manera similar.
El software de GRC puede satisfacer las necesidades de múltiples partes interesadas, entre ellas:
- Los ejecutivos de negocios que necesitan identificar y gestionar los riesgos.
- Los gerentes de finanzas asignados a cumplir los requisitos de cumplimiento normativo.
- Los asesores legales que lidian con el descubrimiento y la retención de registros.
- Los directores de TI que administran las instalaciones de software relacionadas con los proyectos de GRC en una organización.
La retención de datos y los procedimientos de gestión de riesgos establecidos por la Ley Sarbanes-Oxley (SOX), HIPAA, Basel II y las regulaciones regionales han establecido una presión sin precedentes sobre los administradores de TI para coordinar el seguimiento a lo largo de toda la empresa y la organización de las medidas de cumplimiento. Como resultado, la categoría de software GRC se ha convertido rápidamente en un espacio muy disputado entre los gigantes de la industria como SAP, Oracle, IBM, CA y una serie de nuevas empresas más pequeñas. Dada la compleja carga regulatoria impuesta tanto sobre los ejecutivos y los administradores de TI, las herramientas proporcionadas por el software de GRC serán cada vez más importantes para el cumplimiento de las nuevas normas.
Cómo evaluar, seleccionar e implementar software GRC empresarial
En un mundo posterior al Reglamento General de Protección de Datos (GDPR), es más crítico que nunca que las empresas se preparen para un programa de gobernanza, riesgo y cumplimiento. Una estrategia a considerar es la implementación de software especializado para ayudar a administrar las actividades de GRC y proporcionar información procesable para optimizarlas.
Hay una variedad de opciones de software GRC en el mercado. Conozca algunas de las opciones de productos disponibles y la mejor manera de comparar e implementar las herramientas de GRC.
Preparación del terreno para el éxito de GRC
Tanto para los programas de GRC establecidos como para los nuevos, un sistema diseñado para respaldar las funciones de GRC puede ser una inversión estratégica. Busque sistemas que puedan capturar y analizar una amplia gama de controles y métricas, que luego se pueden mostrar en paneles de control fáciles de entender. La generación de informes también puede ser importante, especialmente cuando se presentan hallazgos y actividades recomendadas a la alta dirección.
Al igual que con cualquier actividad importante, los programas de GRC deben contar con el apoyo de la alta dirección y los fondos suficientes. La dotación de personal es el siguiente elemento importante, seguido de la identificación de un marco adecuado para el programa. Además, asegúrese de que haya recursos disponibles para respaldar la implementación del sistema GRC. Ya sea que el nuevo sistema esté basado en la nube y se administre de forma remota o se implemente en el sitio, asegúrese de que sea compatible con TI.
Identificación y selección de candidatos
Una vez que se hayan establecido los elementos anteriores, comience a evaluar y seleccionar candidatos potenciales al software GRC. Los productos están disponibles para implementaciones en el sitio o alojadas. Existe una amplia gama de precios, según las características y los requisitos del sistema, como el almacenamiento de datos, la recuperación ante desastres (DR), la disponibilidad del servidor y el ancho de banda de la red. Puede tener sentido lanzar una nueva iniciativa de GRC con una inversión modesta en un paquete de GRC, mientras que un programa establecido puede necesitar un conjunto de características más maduro. Tenga en cuenta que el software GRC con amplias funciones se traducirá en una mayor inversión.
La información sobre el software GRC está disponible en múltiples recursos. Los clientes de Gartner deben verificar si Gartner tiene un informe que examine los servicios y las herramientas de GRC. Alternativamente, la investigación de las opciones se realiza fácilmente utilizando cualquier motor de búsqueda disponible. Utilice los criterios de referencia en nuestra lista de verificación de comparación de productos GRC descargable para preparar una comparación en paralelo de posibles sistemas.
Actividades previas a la implementación
Una vez que una organización ha analizado sus opciones y seleccionado el software GRC, debe coordinarse con el equipo técnico del proveedor. Esto implicará la programación de actividades de preinstalación, transición y postinstalación. Una lista de actividades previas al lanzamiento incluye lo siguiente:
- Considere utilizar el modelo de ciclo de vida de desarrollo de software para las actividades de planificación e instalación.
- Establezca un equipo interno de planificación e instalación.
- Determine cómo se configurará el nuevo sistema en el lanzamiento.
- Establezca un plan de proyecto coordinado con el proveedor.
- Coordine las actividades de capacitación de usuarios y administradores del sistema con el proveedor.
- Asegúrese de que todos los activos auxiliares —servidores, almacenamiento, fuentes de alimentación y respaldo de datos— estén configurados y en su lugar.
- Asegúrese de que todos los archivos existentes relacionados con GRC estén en su lugar y en el formato de datos adecuado para su uso en el sistema.
- Coordine con el equipo de gestión del cambio.
- Coordine con el equipo de seguridad de la información.
- Asegúrese de que la documentación esté disponible tanto para las instalaciones alojadas como en el sitio.
- Coordine con el equipo de administración de la base de datos.
- Asegúrese de que haya espacio disponible para cualquier hardware en el sitio.
- Revise la conectividad de la red —por ejemplo, el ancho de banda de internet— para los sistemas alojados.
- Programe reuniones periódicas previas al lanzamiento con equipos internos y proveedores.
- Breve gestión sobre el progreso y estado del sistema.
Actividades posteriores al lanzamiento
Asegúrese de que exista un plan de transición y esté coordinado con el proveedor de software de GRC y el proveedor de servicios de red para garantizar un lanzamiento sin problemas del sistema. Una vez que se haya producido la transición, siga estos pasos:
- Complete las pruebas de aceptación del sistema antes de entrar en producción.
- Coordine los cambios y modificaciones del sistema que sean necesarios en función de los resultados de las pruebas de transición y aceptación del sistema.
- Coordine la copia de seguridad de datos y las actividades de recuperación ante desastres con el proveedor.
- Coordine las actividades de seguridad con el proveedor y el equipo de seguridad.
- Programe y complete actividades de formación.
- Envíe notificaciones a todos los empleados en el nuevo sistema.
- Distribuya la documentación —en formato electrónico y en papel— a los administradores y usuarios del sistema.
- Complete una revisión posterior a la instalación y proporcione los resultados a la alta gerencia.
- Establezca un cronograma de mantenimiento con los equipos de administración de cambios y mesa de ayuda.
- Asesore a la auditoría interna sobre la finalización y puesta en servicio del sistema.
Una vez que el software GRC ha entrado en producción, realice revisiones periódicas con los usuarios —ya sea diaria o semanalmente— para identificar cualquier problema que deba solucionarse. Proporcione información periódica al proveedor sobre el progreso y los problemas del sistema. Si se han establecido métricas de desempeño, como indicadores clave de desempeño, programe revisiones periódicas con los administradores del sistema para garantizar el cumplimiento de las métricas.
Opciones de software GRC
Existe una variedad de ofertas de software GRC en el mercado para que las organizaciones las consideren. Conozca algunas de las opciones de productos disponibles:
- IBM OpenPages GRC Platform es un conjunto de aplicaciones que admite actividades de gestión de riesgos empresariales. La plataforma incluye módulos de gestión de controles financieros, gestión de riesgos operativos, gestión de políticas y cumplimiento, gobierno de TI y gestión de auditoría interna. Se admiten las opciones en el sitio y en la nube.
- La Solución MetricStream Enterprise GRC proporciona una única plataforma que incorpora actividades relevantes de GRC en un sistema unificado. Los módulos incluyen gestión de riesgo empresarial, gestión de riesgo operativo, gestión de auditoría interna, gestión de cumplimiento de la Ley Sarbanes-Oxley, gestión de cumplimiento y gestión de políticas y documentos. Se admiten las opciones en el sitio y en la nube.
- HighBond by Galvanize, parte de ACL Services Ltd., proporciona un conjunto modular de aplicaciones que abordan GRC y otras actividades relacionadas. Su módulo ITGRCBond aborda la gestión de cumplimiento y riesgos de TI; los módulos adicionales incluyen RiskBond para la gestión de riesgos, ComplianceBond para la gestión del cumplimiento y ControlsBond para la gestión de los controles internos. Se admiten implementaciones en el sitio y en la nube.
- La plataforma avanzada de análisis de riesgos de Identity Governance and Administration 2.0 de Saviynt integra una variedad de tecnologías y plataformas de aplicaciones para un sistema GRC optimizado. Se admiten software en el sitio y en la nube.
- Donesafe utiliza su plataforma de tecnología en la nube, además de 30 aplicaciones diferentes, para personalizar un sistema GRC personalizado.
La planificación e implementación del software GRC no es diferente a la implementación de cualquier otra instalación de TI. Hay muchas opciones disponibles con una amplia gama de precios, lo que puede hacer que el proceso de evaluación sea un desafío. Utilice los consejos anteriores y la lista de verificación de comparación de productos GRC descargable para tomar una decisión prudente. El software GRC adecuado será coherente con los requisitos comerciales, proporcionará los resultados deseados y funcionará de acuerdo con las expectativas descritas por el cliente.