El uso de tecnologías de Gobierno, Riesgo y Cumplimiento, GRC, se convierte en la herramienta para responder a las nuevas demandas del mercado mundial.
La volatilidad económica, las demandas de los accionistas en las compañías y una competencia cada vez más fuerte en el mercado están obligando a las organizaciones a implementar nuevas prácticas para la gestión del riesgo en el ámbito corporativo, financiero, tecnología de la información y recurso humano.
Las empresas han notado que la capacidad de gestionar el riesgo tiene un impacto significativo en sus resultados finales. Así lo demuestra un estudio elaborado recientemente por la firma consultora Ernst & Young en más de 250 organizaciones líderes a nivel mundial, incluyendo unas 5 compañías establecidas en Colombia.
En él se encontró una relación directa entre las prácticas efectivas de gestión de riesgos y gestión financiera, lo cual ha permitido mejorar el rendimiento y competitividad en el mercado actual.
Sin embargo, para que las empresas puedan implementar una gestión eficaz del riesgo y cosechar beneficios financieros, necesitarán contar con una herramienta GRC en sus de procesos y tecnología de la información, sin importar sus segmentos de negocio o participación en el mercado local.
Recuerde que una solución tecnológica de GRC puede ayudar a la gestión de riesgos y el mejoramiento de prácticas en las actividades diarias del negocio mejorando la capacidad de la compañía para:
• Identificar y responder al riesgo.
• Proporcionar gobernanza y la supervisión.
• Coordinar las funciones de riesgo y los requisitos.
• Optimizar los procesos y controles.
Asimismo, las tecnologías GRC pueden ayudar a una organización en todas sus áreas tales como financiera, ventas, seguridad de la información, tecnología de la información a convertir el riesgo en resultados bajo cuatro áreas claves para mejorar la estrategia del riesgo, interpretar la gestión del riesgo, mejorar el proceso de control y optimizar la gestión del riesgo.
Indiferente de las áreas o líneas de negocio de una empresa, el riesgo es una constante inevitable por lo cual, Ernst & Young de acuerdo con su reciente estudio, comparte el caso de uno de sus clientes, quien en plena confianza de sus procesos identificó, gracias al oportuno soporte de las herramientas de GRC, una oportunidad para mejorar aquellas falencias e inseguridades que generó su antiguo sistema de control de riesgo.
Este cliente de E&Y concluyó con absoluta confianza que sus sistemas de información estaban totalmente seguros ante cualquier falencia de seguridad; estaban firmemente convencidos que los datos de la empresa eran seguros y que estaban fuera del alcance de posibles fugas y fraudes de información.
Sin embargo, luego de un incidente de seguridad ocurrido a varios empleados de la compañía, la empresa decidió evaluar sus procedimientos y controles de seguridad de la información.
Dos días después de haber realizado la evaluación en la red de la organización, el equipo de Ernst & Young descubrió que un atacante, desde una ubicación lejana al país origen, estaba sustrayendo información critica de la compañía. Dicha compañía que había “certificado su seguridad de la información en la red” no fue la única sorprendida por los hallazgos; la junta directiva y el comité de auditoría quedaron sorprendidos por la brecha de seguridad encontrada, situación que originó que se replanteara el enfoque de la seguridad de la información.
Lo peor en este tipo de estos casos es que a menudo se deja la gestión de estas amenazas y riesgos al Departamento de Seguridad de Tecnología de la Información y no se generaliza para toda la compañía como parte del proceso de gestión y administración del riesgo corporativo.
Más allá del temor a una irrupción cibernética, la creciente importancia de las tecnológicas eficaces en gestión de riesgos, ayuda a potencializar la mitigación del riesgo por medio del fortalecimiento de controles, mejorando la protección y efectividad en cuanto a seguridad de las últimas tendencias de TI, tales como los medios móviles y las redes sociales.
