Inicio

Temas

GRC

¿Qué es GRC (gobernanza, riesgo y cumplimiento)?
Explore la solución de plataforma de GRC unificada de IBM Suscríbase al boletín Think
Ilustración con collage de pictogramas de nubes, gráfico circular y gráficos
¿Qué es GRC (gobernanza, riesgo y cumplimiento)?

Gobernanza, riesgo y cumplimiento (GRC) es una estrategia organizacional para gestionar la gobernanza y los riesgos mientras se mantiene el cumplimiento de las normas gubernamentales y de la industria.

GRC también puede referirse a un conjunto integrado de capacidades de software para implementar y gestionar una empresa con un enfoque de GRC.

El conjunto de prácticas y procesos de GRC proporciona un enfoque estructurado para alinear la TI con los objetivos empresariales. El nombre "GRC" fue sugerido por primera vez por OCEG (Open Compliance and Ethics Group) en 2007. GRC ayuda a las empresas a gestionar de manera eficaz los riesgos de TI y seguridad, reducir costos, reducir la incertidumbre y cumplir con los requisitos de cumplimiento normativo.

También ayuda a mejorar la toma de decisiones y el rendimiento a través de una visión integrada de con qué eficacia la organización gestiona sus riesgos. Incluso las organizaciones pequeñas y medianas pueden operar en todo el mundo, por lo que tanto los riesgos como la necesidad de cumplir con las normas gubernamentales pueden tener un alcance global, lo que requiere prestar una atención especial a la gobernanza, la gestión de riesgos y el cumplimiento.

Herramientas de GRC para los responsables de aseguramiento de la calidad

Descubra por qué IBM fue reconocida en la guía de mercado de Gartner sobre herramientas de GRC para responsables de aseguramiento de la calidad en agosto de 2023.

Contenido relacionado Transforme su talento con nuestra guía
Gobernanza

En su nivel más básico, la gobernanza corporativa es el conjunto de normas, políticas y procesos que garantizan que las actividades corporativas estén en consonancia para respaldar los objetivos comerciales. Incluye la ética, la gestión de recursos, la responsabilidad y los controles de gestión.

La gobernanza también garantiza que los directivos de nivel superior puedan dirigir e influir en lo que está sucediendo en todos los niveles de la corporación y que las unidades de negocio estén alineadas con las necesidades de los clientes y los objetivos corporativos generales.

La gobernanza eficaz crea un entorno en el que los empleados se sienten potenciados y los comportamientos y recursos están controlados y bien coordinados. Uno de los objetivos de la gobernanza es equilibrar los intereses de las muchas partes interesadas corporativas, incluso los directivos de nivel superior, los empleados, los proveedores y los inversionista.

Para mantener este equilibrio, la gobernanza puede ayudar a garantizar, por ejemplo, que existan contratos entre las partes interesadas internas y externas de la empresa para la distribución justa de responsabilidades, derechos y recompensas. Esto también incluye procedimientos para conciliar intereses en conflicto entre las partes interesadas y procesos que garanticen que la supervisión, el control y los flujos de datos funcionen como un sistema de controles y equilibrios. 

La gobernanza proporciona control sobre las instalaciones e infraestructuras, como los centros de datos, así como la supervisión de las aplicaciones a nivel de cartera.

Sobre todo, la gobernanza se implementa para establecer responsabilidades por conductas y resultados. La conducta se puede gestionar mediante la aplicación de prácticas comerciales éticas y normas de ciudadanía corporativa. La buena gobernanza define las tareas en función de las líneas de negocio (LOB) y evalúa a los empleados en función de los resultados obtenidos en lugar de hacerlo en función de las responsabilidades.

Gestión de riesgos

La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, legales, estratégicos y de seguridad para la organización. Para reducir el riesgo, la organización debe implementar recursos para minimizar, monitorear y controlar el impacto de los eventos negativos al tiempo que maximiza los eventos positivos.

A nivel más general, la gestión de riesgos es un sistema de personas, procesos y tecnología que permite que la organización establezca objetivos que se ajusten a sus valores y riesgos.

El objetivo de las iniciativas de gestión de riesgos empresariales es alcanzar los objetivos corporativos minimizando el perfil de riesgo y garantizando el valor. Parte de esa tarea es priorizar las expectativas de las partes interesadas y proporcionarles información confiable.

Un programa de gestión de riesgos también se aplica para identificar amenazas, riesgos de ciberseguridad y riesgos de seguridad de la información (por ejemplo, vulnerabilidades de software y malas prácticas en el uso de contraseñas de los empleados), así como para implementar planes orientados a reducir el riesgo de TI. 

El programa debe evaluar el rendimiento y la eficacia del sistema, evaluar la tecnología existente, identificar fallas operativas y tecnológicas que podrían afectar la actividad principal y monitorear el riesgo de la infraestructura y posibles fallas de las redes y los recursos de computación.

Un programa de evaluación de riesgos debe cumplir con objetivos legales, contractuales, internos, sociales y éticos, así como monitorear nuevas normativas relacionadas con la tecnología. Si se concentra la atención en el riesgo y se dedican los recursos necesarios para controlarlo y mitigarlo, una empresa se protegerá de la incertidumbre, reducirá los costos y aumentará la probabilidad de éxito y continuidad de negocio.

Cumplimiento normativo

El cumplimiento implica respetar las normas, políticas y leyes establecidas por las industrias y organismos gubernamentales. El incumplimiento podría costarle a la organización en términos de bajo rendimiento, errores costosos, multas, sanciones y demandas.

El cumplimiento normativo abarca leyes externas, regulaciones y normas de la industria que se aplican a la empresa. El cumplimiento corporativo o interno se refiere a las normas, regulaciones y controles internos establecidos por una empresa individual. Es importante que el programa de gestión de cumplimiento interno esté completamente actualizado con los requisitos de cumplimiento externos.

El programa de cumplimiento integrado debe basarse en un proceso de creación, actualización, distribución y seguimiento de políticas de cumplimiento y capacitación de los empleados sobre dichas políticas.

Para crear un programa de cumplimiento eficaz, las organizaciones deben comprender qué áreas representan el mayor riesgo y enfocar los recursos en esas áreas. Luego, se deben elaborar e implementar políticas; además, se deben comunicar a los empleados para que puedan abordar esas áreas de riesgo. Se deben elaborar orientaciones para facilitar a los empleados y proveedores el seguimiento de las políticas de cumplimiento.

Casos de uso de GRC

Un marco de GRC ayuda a las organizaciones a establecer políticas y prácticas para minimizar el riesgo de cumplimiento. Las soluciones de GRC de TI y seguridad se centran en aprovechar la información oportuna sobre datos, infraestructuras y aplicaciones virtuales, móviles y en la nube.

Además, el sistema de GRC de la organización debe mejorar la eficiencia, reducir los riesgos y aumentar el rendimiento y el retorno de la inversión (ROI).

Las empresas desarrollarán y emplearán un marco de GRC para el liderazgo, la organización y el funcionamiento de sus áreas de TI con el fin de garantizar que respalden y posibiliten el logro de los objetivos estratégicos de la organización. Esto incluye la correlación de información en el contexto de los procesos, políticas y controles empresariales, así como las actividades realizadas por los equipos de TI, finanzas, RR. HH. y directores de nivel ejecutivo.

Eficiencia

 

La evaluación de riesgos, la gestión del cumplimiento, el cumplimiento de datos, las auditorías internas y otras actividades de GRC pueden consumir mucho tiempo y recursos cuando se implementan sin una plataforma de software de GRC. Una capacidad de GRC puede ayudar a las empresas a eliminar los silos en procesos y datos, eliminar la duplicación de esfuerzos, cumplir con las normas y monitorear, medir y predecir pérdidas y eventos de riesgo cibernético.

También puede ayudar a las empresas a gestionar el ciclo de vida de los modelos financieros e impulsados por inteligencia artificial (IA), así como a mejorar el cumplimiento y los controles de TI. Las empresas pueden incluso medir el impacto de los requisitos empresariales y normativos en el marco de las políticas y respaldar la medición automatizada y los controles de TI mediante la integración con productos de terceros.

Evaluación y reducción de riesgos

 

GRC permite a las empresas establecer, automatizar y gestionar la evaluación y reducción de los riesgos. Además, los datos de una plataforma de GRC permiten que las empresas tomen decisiones mejor fundamentadas y luego asignen recursos para mitigar los riesgos. La gestión de riesgos empresariales (ERM) es un subconjunto de GRC que se centra en los factores de riesgo.

Las auditorías normativas como la Ley Sarbanes-Oxley son los hitos para los que opera un programa de GRC y los departamentos deben mantener y proteger los detalles confidenciales (como facturas, registros de recursos humanos e informes financieros) para estar preparados para esas auditorías.

Un programa de GRC eficaz puede ser particularmente útil para las empresas que ya tuvieron un problema importante relacionado con incumplimiento normativo o riesgos. Además, las empresas que no tienen confianza en su cumplimiento, en la visibilidad y elaboración de informes de riesgos financieros internos y externos o en la gestión de riesgos de terceros, pueden recurrir a un modelo de GRC para ayudar a corregir y monitorear conjuntos de controles redundantes y marcos ineficaces para evitar problemas de riesgo repetibles. 

Apoyo estratégico para el rendimiento y el retorno de la inversión

 

A veces, a las empresas les puede resultar difícil asignar recursos, abordar conflictos de intereses y medir el éxito. Esto puede ser el resultado de lidiar con los crecientes costos de abordar los riesgos y requisitos, mientras se enfrenta el desafío de gestionar el crecimiento exponencial de las relaciones con terceros y el riesgo.

Sin embargo, las empresas pueden establecer y monitorear objetivos claros con métricas generadas desde una plataforma de GRC. Esto ayudará a aumentar el rendimiento y mejorar su ROI.

Cómo implementar una estrategia de GRC

Una estrategia de GRC exitosa requiere la coordinación fluida de personas, planes, procesos y tecnología. Los esfuerzos deben ser permanentes: los riesgos y las normas cambian constantemente y las organizaciones deben estar al día y mantenerse a la vanguardia. Los pasos hacia el éxito incluyen los siguientes:

  1. Establezca objetivos claros y cree un marco de GRC
  2. Identifique las carencias operacionales actuales
  3. Consiga la participación de los directivos
  4. Obtenga la aceptación en toda la organización
  5. Establezca funciones y responsabilidades claras
  6. Utilice software de GRC
  7. Realice pruebas del marco de GRC

 

Establezca objetivos claros y cree un marco de GRC

 

Determinar los mayores riesgos y desafíos determinará la estructura de su marco. ¿La organización necesita centrarse en la normativa gubernamental o en la privacidad y seguridad de los datos ? Un marco completo debería ayudar a la organización a tomar decisiones empresariales con conocimiento de causa, minimizar los riesgos y contribuir a garantizar la sustentabilidad.

Identifique las carencias operacionales actuales

 

Las organizaciones deben analizar detenidamente todos los problemas que no se han abordado en su totalidad, como terceros que han tenido problemas graves de seguridad o que la organización no se ha mantenido al día con los informes que exige la normativa. Los procesos de operaciones comerciales y la tecnología siempre se pueden mejorar y los rezagos crean un mayor riesgo.

Consiga la participación de los directivos

 

Si los directores sénior no están realmente comprometidos, será difícil impulsar la implementación. Los directores deben liderar una cultura corporativa consciente de los riesgos. Se trata de guiar a la organización para prevenir problemas de GRC, en lugar de tener que abordarlos de manera reactiva después de que aparecen.

Obtenga la aceptación en toda la organización

 

Toda la organización debe comprender la importancia de GRC. Si los empleados sienten que otra persona debe ocuparse de GRC, los problemas pueden pasar desapercibidos, sin importar cuán completo sea el marco.

Establezca funciones y responsabilidades claras

 

Todos deben saber cuál es su función en la colaboración multifuncional. La junta directiva y el director ejecutivo (CEO) son responsables de monitorear y aprobar el marco de GRC. El director de riesgos (CRO) se ocupa de la supervisión de la gestión diaria. El director de cumplimiento (CCO), el director de información (CIO), el director de tecnología (CTO) y el director financiero (CFO), todos desempeñan una función, junto con el departamento jurídico, de auditoría interna, finanzas, TI y los gerentes de LOB.

Las tareas y responsabilidades individuales deben ser claras y todos deben saber cómo comunicar sus inquietudes sobre GRC.

Utilice software de GRC

 

El uso exclusivo de procesadores de texto y hojas de cálculo podría condenar a la organización al seguimiento manual. Este proceso no puede hacer las preguntas correctas ni registrar los resultados de manera que se conviertan en informes claros y completos necesarios para el cumplimiento legal y la aparición de información más profunda.

Realice pruebas del marco de GRC

 

Comience con uno o dos departamentos para garantizar que el proceso y la interfaz de GRC sean claros y que, además, se aborden todos los problemas importantes. Corregir los problemas cuando son pequeños ahorrará tiempo y evitará situaciones potencialmente embarazosas, en lugar de tener que implementar un programa en toda la organización desde el primer día.

Herramientas de software de GRC

La dirección de operaciones debe hacer pleno uso del software especializado de GRC para garantizar que la empresa cumple las normas de cumplimiento y riesgo.

Las herramientas también pueden ayudar a determinar y mitigar los riesgos asociados con el uso, la propiedad, el funcionamiento, la participación, la influencia y la adopción de TI dentro de una empresa. Las herramientas de GRC deben abarcar el riesgo operativo, la política y el cumplimiento, así como la gobernanza de TI y la auditoría interna. La mayoría del software de GRC incluye las siguientes funciones:

  • Gestión de contenido y documentos que ayuda a las empresas a crear, rastrear y almacenar contenido digitalizado con mayor precisión. 
  • Gestión y análisis de datos sobre riesgos que ayudan a medir, cuantificar y predecir los riesgos, y a determinar los próximos pasos para reducirlos.
  • Gestión del flujo de trabajo para ayudar a las empresas a establecer, ejecutar y monitorear flujos de trabajo relacionados con GRC.
  • Gestión de auditorías para organizar la información y simplificar los procesos para la realización de auditorías internas.
  • Ayuda a las unidades de negocio a coordinar sus actividades en una única plataforma.
  • Conexiones para mantenerse al día con los cambios normativos.
  • Plantillas prediseñadas que permiten una configuración y personalización rápidas.
  • Un panel que proporciona una interfaz central donde los indicadores clave de rendimiento pertinentes para los procesos y objetivos de negocio se pueden monitorear en tiempo real.

Además, brindar a las unidades responsables acceso al software de gestión de eventos e información de seguridad (SIEM) puede ayudarlas a detectar amenazas de seguridad. El software de auditoría también puede ayudar a evaluar el éxito de los esfuerzos de GRC y señalar posibles mejoras.

Las herramientas de GRC eficaces crean y distribuyen políticas y controles para luego asignarlos a las normativas y los requisitos de cumplimiento. Ayudan a evaluar si los controles se implementaron y funcionan de manera correcta y si están mejorando la evaluación y mitigación de los riesgos. 

IBM fue nombrado proveedor representativo en la guía de mercado de Gartner sobre herramientas de GRC para líderes de aseguramiento de calidad en agosto de 2023
Soluciones relacionadas
IBM Active Governance Services

IBM Active Governance Services (AGS) integra puntos de datos clave de ciberseguridad y de la organización en una solución centralizada para entornos en la nube, locales e híbridos.

Explore IBM Active Governance Services
IBM OpenPages

IBM OpenPages es una plataforma de gobernanza, riesgo y cumplimiento impulsada por IA creada para ayudar a las organizaciones a gestionar los desafíos de riesgo y cumplimiento normativo.

Explorar IBM OpenPages
IBM watsonx Assistant: agente virtual inteligente

IBM watsonx Assistant ofrece a los clientes respuestas rápidas, congruentes y precisas en cualquier aplicación, dispositivo o canal.

Explore los agentes virtuales inteligentes
IBM Cloud Pak para datos

IBM Cloud Pak for Data es una plataforma de datos abierta y extensible que proporciona una estructura de datos para que todos los datos estén disponibles para la IA y los analytics, en cualquier nube.

Explorar IBM Cloud Pak for Data
Recursos Asumir los riesgos con confianza

A medida que las organizaciones adoptan y escalan la IA, tienen dificultades para gestionar y monitorear las actividades de IA dentro de sus marcos de gobernanza, riesgo y cumplimiento (GRC). Simplifique la gestión de la gobernanza, el riesgo y el cumplimiento con IBM OpenPages, una solución unificada impulsada por IA.

OpenPages: integre la gobernanza, el riesgo y el cumplimiento

La solución para la gestión de GRC impulsada por IA centraliza las funciones de gestión de riesgos y cumplimiento normativo.

La evolución de GRC

IBM explora cómo, en los mercados financieros globales que cambian con rapidez, las soluciones de gobernanza, riesgo y cumplimiento de normas de última generación están facultando a un número creciente de organizaciones y usuarios de negocios a tomar decisiones con consciencia del riesgo y también a aumentar la eficiencia y eficacia de los procesos.

Dé el siguiente paso

Simplifique la gobernanza de datos, la gestión de riesgos y el cumplimiento normativo con IBM® OpenPages, un software unificado y altamente escalable impulsado por IA para la gobernanza, el riesgo y la conformidad.

Explorar IBM OpenPages Reserve una demostración en vivo