Parte de una serie sobre |
Gobernancia |
---|
Modelos |
Por nivel |
Por campo |
Medidas |
Temas relacionados |
Gobernanza, gestión de riesgos y cumplimiento ( GRC ) es el término que cubre el enfoque de una organización en estas tres prácticas: gobernanza , gestión de riesgos y cumplimiento . [1] [2] [3] La primera investigación académica sobre GRC se publicó en 2007 [4]donde GRC se definió formalmente como "la colección integrada de capacidades que permiten a una organización lograr objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refirió a las actividades comunes de "mantener a la empresa en el camino" que se llevan a cabo en departamentos como auditoría interna, cumplimiento, riesgos, legal, finanzas, TI, RR.HH., así como las líneas de negocio, la suite ejecutiva y el propio directorio.
El gobierno, la gestión de riesgos y el cumplimiento son tres facetas relacionadas que tienen como objetivo asegurar que una organización logre los objetivos de manera confiable, aborde la incertidumbre y actúe con integridad. [5] La gobernanza es la combinación de procesos establecidos y ejecutados por los directores (o la junta directiva) que se reflejan en la estructura de la organización y en cómo se gestiona y se dirige hacia el logro de las metas. La gestión de riesgos consiste en predecir y gestionar los riesgos que podrían impedir que la organización logre sus objetivos de forma fiable en condiciones de incertidumbre. El cumplimiento se refiere al cumplimiento de los límites obligatorios (leyes y reglamentos) y los límites voluntarios (políticas, procedimientos, etc. de la empresa). [6] [7]
GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad a través de la gobernanza y el cumplimiento para operar de manera más eficiente, permitir el intercambio efectivo de información, informar actividades de manera más efectiva y evitar superposiciones innecesarias. Aunque se interpreta de manera diferente en varias organizaciones, GRC generalmente abarca actividades como el gobierno corporativo , la gestión de riesgos empresariales (ERM) y el cumplimiento corporativo de las leyes y regulaciones aplicables.
Las organizaciones alcanzan un tamaño en el que se requiere un control coordinado sobre las actividades de GRC para operar de manera efectiva. Cada una de estas tres disciplinas crea información de valor para las otras dos, y las tres impactan en las mismas tecnologías, personas, procesos e información.
La duplicación sustancial de tareas evoluciona cuando la gobernanza, la gestión de riesgos y el cumplimiento se gestionan de forma independiente. Las actividades de GRC superpuestas y duplicadas tienen un impacto negativo tanto en los costos operativos como en las matrices de GRC. Por ejemplo, cada servicio interno puede ser auditado y evaluado por varios grupos anualmente, creando un costo enorme y resultados desconectados. Un enfoque de GRC desconectado también evitará que una organización proporcione informes ejecutivos de GRC en tiempo real. GRC supone que este enfoque, como un sistema de transporte mal planificado, operará cada ruta individual, pero la red carecerá de las cualidades que les permitan trabajar juntas de manera efectiva. [8]
Si no se integra, si se aborda en un enfoque tradicional de "silo", la mayoría de las organizaciones deben mantener un número inmanejable de requisitos relacionados con GRC debido a los cambios en la tecnología, el aumento del almacenamiento de datos, la globalización del mercado y una mayor regulación.
Se puede instituir un programa GRC para enfocarse en cualquier área individual dentro de la empresa, o un GRC completamente integrado puede trabajar en todas las áreas de la empresa, utilizando un solo marco.
Un GRC completamente integrado utiliza un conjunto básico único de material de control, asignado a todos los factores de gobernanza primarios que se están monitoreando. El uso de un marco único también tiene la ventaja de reducir la posibilidad de acciones correctivas duplicadas.
Cuando se revisan como áreas individuales de GRC, los encabezados individuales más comunes se consideran GRC financiero, GRC operativo, WHS GRC, IT GRC y Legal GRC.
La AICD (Instituto Australiano de Directores de Empresas), sin embargo se divide en tres grupos de riesgo súper
Los analistas no están de acuerdo sobre cómo estos aspectos de GRC se definen como categorías de mercado. Gartner ha declarado que el amplio mercado de GRC incluye las siguientes áreas:
Además, dividen el mercado de gestión de GRC de TI en estas capacidades clave.
Las distinciones entre los subsegmentos del amplio mercado de GRC a menudo no son claras. Con una gran cantidad de proveedores que ingresaron a este mercado recientemente, determinar el mejor producto para un problema comercial dado puede ser un desafío. Dado que los analistas no están completamente de acuerdo con la segmentación del mercado, el posicionamiento de los proveedores puede aumentar la confusión.
Debido a la naturaleza dinámica de este mercado, cualquier análisis de proveedores suele estar desactualizado relativamente poco después de su publicación.
En términos generales, se puede considerar que el mercado de proveedores existe en tres segmentos:
Las soluciones GRC integradas intentan unificar la gestión de estas áreas, en lugar de tratarlas como entidades separadas. Una solución integrada es capaz de administrar una biblioteca central de controles de cumplimiento, pero administrarlos, monitorearlos y presentarlos frente a todos los factores de gobierno. Por ejemplo, en un enfoque de dominio específico, se podrían generar tres o más hallazgos contra una sola actividad interrumpida. La solución integrada reconoce esto como una ruptura relacionada con los factores de gobernanza mapeados.
Los proveedores de GRC de dominios específicos comprenden la conexión cíclica entre gobernanza, riesgo y cumplimiento dentro de un área particular de gobernanza. Por ejemplo, dentro del procesamiento financiero, que un riesgo se relacionará con la ausencia de un control (necesidad de actualizar la gobernanza) y / o la falta de cumplimiento (o mala calidad) de un control existente. El objetivo inicial de dividir GRC en un mercado separado ha dejado a algunos proveedores confundidos por la falta de movimiento. Se cree que la falta de educación profunda dentro de un dominio en el lado de la auditoría, junto con la desconfianza de la auditoría en general, provoca una ruptura en un entorno corporativo. Sin embargo, hay proveedores en el mercado que, aunque siguen siendo específicos del dominio, han comenzado a comercializar su producto a usuarios finales y departamentos que, aunque son tangenciales o superpuestos,se han expandido para incluir la auditoría interna corporativa interna (CIA) y los equipos de auditoría externa (nivel 1, cuatro grandes y nivel dos y menos), seguridad de la información y operaciones / producción como público objetivo. Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción será auditado por la CIA utilizando una aplicación a la que la producción también tiene acceso, se cree que se reducirá el riesgo más rápidamente, ya que el objetivo final no es ser 'compatible' sino ser 'seguro' o lo más seguro posible. También puede probar las diversas herramientas GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción será auditado por la CIA utilizando una aplicación a la que la producción también tiene acceso, se cree que se reducirá el riesgo más rápidamente, ya que el objetivo final no es ser 'compatible' sino ser 'seguro' o lo más seguro posible. También puede probar las diversas herramientas GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción será auditado por la CIA utilizando una aplicación a la que la producción también tiene acceso, se cree que se reducirá el riesgo más rápidamente, ya que el objetivo final no es ser 'compatible' sino ser 'seguro' o lo más seguro posible. También puede probar las diversas herramientas GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.
Las soluciones puntuales para GRC están marcadas por su enfoque en abordar solo una de sus áreas. En algunos casos de requisitos limitados, estas soluciones pueden tener un propósito viable. Sin embargo, debido a que tienden a haber sido diseñados para resolver problemas específicos de dominio en gran profundidad, generalmente no adoptan un enfoque unificado y no son tolerantes con los requisitos de gobernanza integrada. Los sistemas de información abordarán mejor estos asuntos si los requisitos para la gestión de GRC se incorporan en la etapa de diseño, como parte de un marco coherente. [10]
Los proveedores de GRC con un marco de datos integrado ahora pueden ofrecer soluciones de inteligencia empresarial y almacén de datos de GRC personalizadas. Esto permite recopilar y analizar datos de alto valor de cualquier número de aplicaciones GRC existentes.
La agregación de datos de GRC utilizando este enfoque agrega un beneficio significativo en la identificación temprana del riesgo y la mejora del proceso comercial (y control comercial).
Otros beneficios de este enfoque incluyen (i) permite que las aplicaciones existentes, especializadas y de alto valor continúen sin impacto (ii) las organizaciones pueden gestionar una transición más fácil a un enfoque GRC integrado porque el cambio inicial solo agrega a la capa de informes y (iii ) proporciona una capacidad en tiempo real para comparar y contrastar el valor de los datos entre sistemas que anteriormente no tenían un esquema de datos común '.
Una revisión de la publicación realizada en 2009 [ cita requerida ] encontró que apenas había investigación científica sobre GRC. Los autores derivaron la primera definición corta de GRC a partir de una extensa revisión de la literatura. Posteriormente, se validó la definición en una encuesta entre profesionales de GRC. "GRC es un enfoque integrado y holístico de GRC en toda la organización que garantiza que una organización actúe de forma éticamente correcta y de acuerdo con su apetito por el riesgo, las políticas internas y las regulaciones externas a través de la alineación de la estrategia, los procesos, la tecnología y las personas, mejorando así la eficiencia y la eficacia. . " Luego, los autores tradujeron la definición en un marco de referencia para la investigación de GRC.
Cada una de las disciplinas centrales (gobierno, gestión de riesgos y cumplimiento) consta de cuatro componentes básicos : estrategia, procesos, tecnología y personas. El apetito de riesgo de la organización , sus políticas internas y regulaciones externas constituyen las reglas de GRC. Las disciplinas, sus componentes y reglas ahora se fusionarán de manera integrada, holística y en toda la organización (las tres características principales de GRC), alineadas con las operaciones (comerciales) que se administran y respaldan a través de GRC. Al aplicar este enfoque, las organizaciones anhelan alcanzar los objetivos : comportamiento éticamente correcto y mayor eficiencia y eficacia de cualquiera de los elementos involucrados. [11]