TI como base principal en GRC
Los entornos de negocio han estado experimentando una serie de problemas, sorpresas y eventos negativos que han incrementado el foco en la adecuación de actividades de Gobierno, Riesgo y Cumplimiento, en las organizaciones.
Motivación de cambio
Los desastres financieros ocurridos en casos como Enron, Sub-Prime, Societe General, WorldCom, etc. ocasionaron que el gobierno y las personas perdieran la confianza por las corporaciones, y tuvo como resultado la generación de varias emisiones de regulaciones como Basel II, Sabanes-Oxley Act (SOX), Anti-Money Laundering (AML), etc. Además, la alta dirección no solo tendría participación de informado si no también de entendido completamente con las actividades GRC, y comprender que en vez de ser una carga podría tomarse como ventaja su implementación.
Integración gracias a TI
Si se quiere sacar el jugo de las actividades GRC, indudablemente las tecnologías de la información mejorarán la eficiencia y efectividad de dichas actividades. Por un lado como catalizador y por otro como parte de la organización que puede entregar valor a la organización. Hoy en día, las mejores prácticas, marcos y estándares como ITIL, COBIT e ISO 27001, representan un factor distintivo en el mercado. Aunque es difícil de demostrar que ello generará una ventaja competitiva, en última instancia más se apoya en dejar claro la creación de valor. Por ejemplo COBIT con COSO-ERM pueden ayudar a la implementación de SOX, ya que los mencionados apuntan a las necesidades de TI en apoyo al negocio.
GRC vs GRC de TI
Así como hay Gestión de Riesgos Empresariales y Gestión de Riesgos de TI, algunos escépticos hablan de “GRC” y “GRC de TI”, entonces nos queda detenernos y analizar un poco. Al igual que en el GRC de la corporación, tener procesos de TI, riesgos y controles interconectados con las actividades de TI da como resultado un mejor rendimiento, mejores procesos y controles internos, toma de decisiones, seguimiento y seguimiento de riesgos, etc. Por lo tanto, es irrelevante si estamos hablando de GRC de TI o GRC empresarial, lo que las organizaciones es un enfoque holístico, general y sistemático del gobierno, riesgo y cumplimiento, lo que resulta en una comprensión más profunda de lo que está sucediendo en un negocio.
Consejo audit
No se preocupe en determinar si sus estrategias de riesgos por ejemplo, implementarán un ISO 31000 o una ISO 27005, o si se debe implementar un marco de gobierno corporativo de TI o gobierno corporativo empresarial, recuerde que el enfoque debe ser holístico y considerar lo crítico en base la realidad de su organización. En audit contamos con la plataforma aValue, quien se encargará de gestionar sus estrategias GRC.