No hay que temer al GRC

A pesar de la creciente adopción, los clientes aún informan sobre la imposibilidad de lograr el valor total de las plataformas GRC debido a las costosas implementaciones, los largos ciclos de vida del desarrollo de software y las interfaces de usuario obsoletas. Los diseños y paneles deficientes frustran la adopción del usuario y limitan la participación de GRC, minimizando así el valor de la herramienta. Las herramientas GRC son básicamente imperfectas, y no es probable que una sola herramienta satisfaga los requisitos de una empresa, particularmente una en un sector fuertemente regulado. Las aplicaciones de software GRC requieren una gran cantidad de tiempo y dinero para su implementación y pueden perturbar la cultura GRC de la organización, crear enormes requisitos de capacitación y manifestarse en una pérdida de productividad. Además se debe considerar que, implementar una herramienta, que es demasiado compleja y muy costosa, puede tener mayores implicaciones negativas que no implementar una herramienta en absoluto. Los proveedores de GRC han mejorado sus plataformas en términos de mejores informes, mejores herramientas de visualización, introducción de capacidades móviles y un flujo de trabajo más fácil, pero la interoperabilidad empresarial, el análisis avanzado y los informes de comprensión para el usuario medio todavía están rezagados.

El mercado

Debido a que la gestión regular de activos, sistemas y partes interesadas es indispensable para la efectividad general de TI en pequeñas y medianas empresas, las organizaciones de TI deben equilibrar muchas prioridades desafiantes, como reducir los costos operativos, calificar el sistema de información, sus servicios y departamentos para adaptarse rápidamente a las necesidades cambiantes y garantizar el cumplimiento de las obligaciones legales mientras aumenta la satisfacción de los clientes y empleados, existen varias metodologías, estándares, marcos y buenas prácticas para la gobernanza del sistema de información. Los más aplicables y utilizados en la actualidad son COBIT, ITIL, ISO / IEC 27002, PMBOK y CMMI, cada uno tiene sus aspectos positivos y sus limitaciones. Estos pueden ser sostenidos en una plataforma GRC, y sus objetivos se resumen en: Sistematizar la importancia del GRC de TI integrado para las organizaciones de TI (Nivel estratégico), Analizar el grado en el que los principios de TI GRC son reconocidos, establecidos y aceptados por los CIO y ejecutivos de TI. Determinar qué nivel de experiencia en GRC de TI existe y qué marcos, mejores prácticas y modelos de referencia deben adoptarse (nivel de decisión). Seleccionar el procesamiento adecuado del sistema y cómo se percibe. Y, finalmente, generar un informe de procesamiento.

GRC de TI

El acrónimo IT GRC (Gobierno de TI, Riesgo de TI y Cumplimiento de TI) es un tema emergente en el campo de la tecnología de la información y los negocios. Como una de las primeras contribuciones a IT GRC, Samuel DiPiazza Jr., director ejecutivo (CEO) de PricewaterhouseCoopers International Limited (PWC), señaló que “GRC no es nuevo. Como cuestiones individuales, la gobernanza, la gestión de riesgos y el cumplimiento han sido preocupaciones fundamentales de las empresas y sus líderes. Lo nuevo es una percepción emergente de GRC como un conjunto integrado de conceptos que, cuando se aplican de manera integral dentro de una organización, pueden agregar un valor significativo y brindar una ventaja competitiva”. Uno de los pocos enfoques de definición motivados académicamente fue proporcionado por Racz, Weippl y Seufert, quienes llevaron a cabo un análisis exhaustivo sobre la comprensión de GRC al establecer las diferentes características juntas. Su enfoque fue modificado y validado iterativamente por un gran número de expertos en GRC. Definieron GRC como “un enfoque integrado y holístico de la gobernanza, el riesgo y el cumplimiento en toda la organización que garantiza que una organización actúe de manera éticamente correcta y de acuerdo con su apetito por el riesgo, las políticas internas y las regulaciones externas a través de la alineación de la estrategia, los procesos, la tecnología y las personas , mejorando así la eficiencia y la eficacia ”.

En búsqueda de la integridad

A pesar de que el concepto de un enfoque integrado de GRC es generalmente aceptado, los diferentes enfoques de definición se enfocan en ciertos aspectos de GRC, lo que hace que una comprensión común de GRC sea aún más deseable. Las características, que se han tenido en cuenta mediante una serie de enfoques de definición, incluyen perspectivas relacionadas con la tecnología que vinculan el concepto de GRC a una plataforma de TI que organiza la documentación esencial, analiza las evaluaciones de riesgos y presenta informes por funcionalidades del Dashboard, o perspectivas relacionadas con el proceso considerando GRC como un proceso de gestión estratégico y permanente que resalta las tareas gubernamentales necesarias para mejorar las operaciones. Existen varias metodologías, estándares, marcos y buenas prácticas para la gobernanza del sistema de información. Para IT GRC, la primera preocupación es profesional: la estructura de marcos de IT GRC como COBIT, ITIL o COSO es ad hoc. Cada uno responde a un objetivo específico de IT GRC. Los CIOs plantean frecuentemente la cuestión de la adaptación de estos frameworks al contexto de su negocio, estos resultan en la implementación de proyectos de integración de IT GRC. Además, muchas soluciones tecnológicas emergentes y mejores prácticas para respaldar el GRC de TI plantean el problema de elegir la mejor solución para una necesidad empresarial determinada.

Consejo audit

La clave de la implementación de una plataforma IT GRC se centra en la integridad de la información, y no considerar integrar estrategias, tácticas y operaciones para la toma de decisión, es uno de los principales errores al momento de ejecutar un proyecto de implementación de la plataforma. En audit tenemos nuestro producto aValue, el cual impulsa satisfactoriamente la implementación GRC de TI en la organización, aprovechando la inversión y recursos con los que se cuenta.