Gobernabilidad, Riesgo y Cumplimiento (GRC) se refiere a una estrategia para administrar el gobierno general de una organización, la administración de riesgos empresariales y el cumplimiento de las regulaciones. Piense en GRC como un enfoque estructurado para alinear el área de TI con los objetivos de negocio, al tiempo que gestiona eficazmente los riesgos y cumple con los requisitos de cumplimiento.
Una estrategia GRC bien planificada tiene muchos beneficios: mejora de la toma de decisiones, inversiones óptimas en TI, eliminación de silos y reducción de la fragmentación entre las divisiones y departamentos, por nombrar algunos.
Aquí hay respuestas a algunas preguntas comunes relacionadas con GRC.
¿Es “gobernabilidad, riesgo y cumplimiento” o “gobierno, riesgo y control”?
Según Joanna Grama, directora de ciberseguridad y programas IT GRC de EDUCAUSE, la “C” en GRC se refiere al cumplimiento, pero aprecia por qué algunas personas igualan el cumplimiento con el control. En el entorno de TI, GRC tiene tres componentes principales:
Gobernabilidad: es decir, garantizar que las actividades de la organización –como la gestión de las operaciones de TI– estén alineadas de manera que apoyen los objetivos empresariales de la organización.
Riesgo: asegurarse que cualquier riesgo (u oportunidad) asociado con las actividades de la organización se identifica y se aborda de una manera que apoya los objetivos de negocio de la organización. En el contexto de TI, esto significa tener un proceso integral de gestión de riesgos de TI que se convierta en la función de gestión de riesgos empresariales de una organización.
Cumplimiento: asegurarse que las actividades de la organización funcionen de manera que cumpla con las leyes y reglamentos que afectan a esos sistemas. En el contexto de TI, esto significa asegurarse que los sistemas informáticos, y los datos contenidos en esos sistemas, se utilizan y se aseguran correctamente.
Cumplimiento implica controles de TI, así como la auditoría de los controles para asegurarse que están funcionando como se pretende. Las organizaciones también utilizan controles para manejar los riesgos identificados. De hecho, el término “GRC” surgió a principios de los años 2000 después de muchos desastres financieros corporativos altamente divulgados, lo que dio lugar a empresas que luchaban por mejorar sus procesos de control interno y gobernanza (Gartner, 2016).
¿Cómo funciona GRC?
Grama dice que las organizaciones desarrollan un marco de GRC para el liderazgo, organización y operación de las áreas de TI de la organización para asegurar que apoyan y permiten los objetivos estratégicos de la organización. El marco especifica medidas claramente definidas que brindan una luz sobre la eficacia de los esfuerzos GRC de una organización.
Aunque hay muchas opciones de software disponibles para ayudar a agilizar las operaciones de GRC, éste es más que un conjunto de herramientas de software.
Muchas organizaciones consultan un marco de orientación para desarrollar y refinar sus funciones GRC en lugar de crear una desde cero. Los marcos y las normas proporcionan elementos básicos que las organizaciones pueden adaptar a su entorno. Según Grama, COBIT, COSO e ITIL son los grandes actores en muchas industrias diferentes.
¿Cuál es la clave para una implementación GRC exitosa?
Las funciones de toma de decisiones, gestión de recursos y cartera, gestión de riesgos y cumplimiento normativo incluidas en un marco GRC no serán efectivas a menos que el liderazgo ejecutivo de la organización realmente apoye el cambio cultural.
“La implementación de un marco nunca será exitosa a menos que la cultura de la organización evolucione para apoyar las actividades de GRC”, dice Grama.
¿Quién emplea GRC?
GRC puede ser implementado por cualquier organización –sea pública o privada, grande o pequeña– que quiera alinear sus actividades de TI con sus objetivos de negocio, gestionar el riesgo de manera efectiva y mantenerse al día con el cumplimiento.
¿Cuáles son las principales certificaciones de GRC?
Los profesionales con una certificación de GRC deben hacer malabares con las expectativas de las partes interesadas con los objetivos de negocio y asegurar que los objetivos de la organización se cumplan al tiempo que cumplen con los requisitos de cumplimiento. Esa es una cantidad increíble de responsabilidad, y es absolutamente necesaria en el clima de negocios de hoy.
Todo tipo de roles de trabajo requieren o se benefician de una certificación de GRC, incluyendo al CIO, al analista de seguridad de TI, al ingeniero de seguridad o arquitecto, al gerente de programa de aseguramiento de la información y al auditor senior de TI, entre otros.
Algunas de las mejores selecciones para las certificaciones de GRC son:
- Certificado en Control de Riesgos y Sistemas de Información (CRISC).
- Certificado en el Gobierno de la Empresa de TI (CGEIT).
- Project Management Institute – Profesional de Gestión de Riesgos (PMI-RMP).
- Experto de
- Certificación en Gestión de Riesgos (CRMA).
- GRC Profesional (GRCP).
¿Qué es una herramienta / solución de GRC y qué hace?
Una solución de IT GRC le permite crear y coordinar políticas y controles y asignarlos a los requisitos normativos y de cumplimiento interno.
Estas soluciones, generalmente basadas en la nube, introducen la automatización para muchos procesos, lo que aumenta la eficiencia y reduce la complejidad. Hay muchas soluciones de GRC en el mercado. IBM OpenPages GRC Platform, MetricStream y Enterprise GRC de Rsam son algunos ejemplos de soluciones altamente calificadas, aunque vienen con etiquetas de precio alto. Hay soluciones más económicas a precios razonables (e incluso gratuitas), pero que pueden carecer de los conjuntos de características más amplias de los competidores de mayor precio.
Antes de estudiar cualquier solución de software, debe preparar su entorno primero. Eso significa evaluar el riesgo de su organización y examinar los controles. ¿Tiene controles adecuados en su lugar? ¿Funcionan los controles existentes? Agregue controles donde sea necesario y corrija aquellos que no están entregando como se pretendió. También necesita crear un marco de GRC.
Aunque GRC tiende a centrarse en TI, la implementación de una estrategia involucra a toda una organización y requiere una mirada dura hacia todas las personas y procesos que serán afectados.
Kim Lindros, CIO EEUU