Herramientas de gobernanza, riesgo y cumplimiento: una cuestión de enfoque
Según ha advertido Gartner, los equipos de gestión de riesgos empresariales están satisfechos con las herramientas GRC para casos de uso básicos, pero enfrentan desafíos de selección e implementación.
Los equipos de gestión de riesgos empresariales (ERM, por sus siglas en inglés) están satisfechos con las herramientas de gobernanza, riesgo y cumplimiento (GRC) para casos de uso básicos. Sin embargo cabe destacar que encuentran desafíos significativos al intentar seleccionar una herramienta que satisfaga las necesidades de un conjunto diverso de agentes interesados. Así lo advierte la consultora tecnológica Gartner.
"Los departamentos de ERM han detectado que la selección e implementación de herramientas GRC es un reto, con el proceso de evaluación de proveedores por sí solo tomando más de seis meses en la mayoría de las organizaciones", dijo Zachary Ginsburg, director de Investigación en la práctica de Riesgo Legal y Cumplimiento de Gartner. "Así, para un departamento estándar, esto podría implicar, al menos, nueve meses adicionales para alcanzar la funcionalidad completa de una herramienta GRC".
La necesidad de priorizar
Encontrar una única herramienta que satisfaga todas las necesidades es difícil, y a menudo conduce a peores resultados. El largo proceso de selección de proveedores refleja la diversidad de requisitos y partes interesadas que suelen participar en la selección de herramientas de GRC. Por ejemplo, aproximadamente cinco funciones o subfunciones de riesgo -como la gestión del riesgo crediticio, la ciberseguridad, la TI, el cumplimiento corporativo y la gestión del riesgo operativo- suelen utilizar la solución GRC principal de ERM el 20% de las veces o más, y un número similar se consulta en la decisión de compra.
Sin embargo, muchos compradores de herramientas GRC están aumentando el tiempo de implementación, afrontando costes más elevados o encarando retos de datos o usabilidad basados en suposiciones erróneas. En particular, muchos compradores creen (y muchos proveedores afirman) que las herramientas con módulos para diferentes flujos de trabajo (por ejemplo, cumplimiento, auditoría) superarán a las combinaciones de herramientas GRC y soluciones puntuales que cubren dichos flujos.
"Dado que las herramientas de GRC y las soluciones puntuales de terceros pueden integrarse a través de conectores de datos o API, ERM y otras funciones pueden elegir a menudo las herramientas mejor diseñadas para satisfacer sus necesidades y seguir contando con integración de datos", afirma Ginsburg. "Por lo tanto, los responsables de ERM deberían considerar priorizar sus propias necesidades funcionales a la hora de adquirir una herramienta GRC. Al hacerlo, pueden eludir ineficiencias o costes que supondría acomodar una herramienta que no es un ajuste ideal para sus propios flujos de trabajo".
Tiempos de implementación
La integración de los datos y procesos de riesgo y la gestión de las partes interesadas alargan la implantación. Los departamentos de ERM pueden utilizar las herramientas de GRC para llevar a cabo encuestas de evaluación de riesgos o un número limitado de otros usos antes de la implementación completa. Sin embargo, la mayoría de los casos de uso primarios de GRC, como la agregación de información de riesgos a través de silos organizativos, requieren de una implementación completa.
Los retos más comunes de la implantación de herramientas GRC tienden a ser la introducción de un registro/universo de riesgos útil y la formación del personal. Garantizar la interoperabilidad entre sistemas y procesos para ERM, cumplimiento y otras funciones de gestión de riesgos es crucial para utilizar herramientas GRC para agregar información de riesgos.
"Si no se selecciona una herramienta de GRC con suficientes capacidades de interoperabilidad con otros sistemas que contengan información sobre riesgos, es posible que los responsables de ERM no aprovechen las ventajas de GRC sin una mayor personalización o soluciones puntuales. De hecho, es posible que nunca aprovechen plenamente todas las ventajas potenciales", afirma Ginsburg. "Dado que estos desafíos de implementación comúnmente causan grandes retrasos en la obtención de todo el valor esperado de las herramientas GRC, los directores de ERM deben considerar priorizar las herramientas GRC en función de qué tan bien funcionarán 'fuera de la caja' en el proceso de selección".
Además, para conseguir apoyo para las mejores soluciones, los responsables de ERM deben implicar a otras partes interesadas de la organización para determinar qué herramientas de GRC pueden soportar más fácilmente la agregación de información de riesgos de otros equipos y sistemas, y gestionar activamente las expectativas de las partes interesadas a lo largo del proceso de implantación.
Por último, los responsables de ERM deben determinar cómo puede la organización obtener valor de la herramienta de GRC durante la fase de implantación. Muy pocas organizaciones parecen capaces de utilizar su nueva herramienta para completar algunas de las actividades que realizan en un plazo de uno a tres meses, y este número aumenta de forma más o menos exponencial trimestre a trimestre.
