Por: Fernando Costa, Gerente de Producto de TECNOAV
Las empresas ecuatorianas, dependiendo de su industria o tipo de negocio, deben cumplir una serie de leyes y regulaciones que supervisan su funcionamiento. En este contexto, la implementación de una estrategia de Gobernanza, Riesgo y Cumplimiento, GRC, permite trabajar en acciones que garanticen el cumplimiento de regulaciones, la gestión de riesgos, la anticipación y mitigación de posibles problemas y amenazas que puedan afectar a una organización y además, asegurar la toma de decisiones informadas para la supervivencia y el éxito continuo de estas organizaciones.
La definición de programas de GRC, su adaptación a la realidad y las previsiones de crecimiento futuro, son aspectos que varían según la industria, el tamaño de la empresa y otros factores específicos. Sin embargo, existen algunas consideraciones generales que las empresas pueden adoptar para alcanzar sus objetivos.
En primer lugar, una evaluación exhaustiva de la situación actual en términos de GRC que implica identificar las normativas relevantes, evaluar los riesgos, analizar la estructura de gobernanza existente y evaluar los procesos de control y cumplimiento. Esta evaluación sirve como punto de partida para la planificación futura de la estrategia de GRC.
Posteriormente, crear un marco de GRC donde se establece políticas, procedimientos, roles y responsabilidades relacionados con la gobernanza, el riesgo y el cumplimiento. Este marco proporciona un conjunto de directrices que guían a la organización en su esfuerzo por cumplir las normativas y gestionar eficazmente los riesgos.
La etapa de Control Interno, Auditoría y Monitoreo Continuo evalúa la efectividad de los programas de GRC y requiere realizar auditorías periódicas, la ejecución de evaluaciones de riesgo y el monitoreo constante del cumplimiento de las regulaciones.
La tecnología y la automatización juegan un papel prioritario en esta estrategia. Las empresas ecuatorianas pueden aprovechar herramientas de software de GRC que facilitan la gestión de datos, la automatización de procesos de evaluación, el monitoreo continuo de controles y la generación de informes precisos y oportunos.
Además, promueve la colaboración interdepartamental y fomenta la comunicación entre los diferentes sectores de la organización propiciando un entorno adecuado para el intercambio de información relevante y la alineación de objetivos de Gobernanza, Riesgo y Cumplimiento.
La seguridad y la protección de datos también son fundamentales en las soluciones de gobernanza para garantizar la confidencialidad, la integridad, la disponibilidad y el cumplimiento normativo de la información crítica utilizada en la toma de decisiones y la gestión de la organización. La implementación de medidas de seguridad sólidas permitirá mitigar riesgos y proteger la reputación de la organización.
Una estrategia de gobernanza también debe considerar en varias áreas clave como por ejemplo en:
- Políticas y procedimientos de TI. La estrategia de gobernanza debe incluir políticas y procedimientos específicos relacionados con la gestión de TI, la seguridad de la información, la privacidad de los datos y otros aspectos tecnológicos.
- Evaluación de riesgos de TI. identifica y mitiga riesgos relacionados con la tecnología, incluye la identificación de amenazas cibernéticas, vulnerabilidades de seguridad de la información, riesgos de interrupción del negocio, gestión de accesos y autorizaciones, la protección de datos confidenciales, la respuesta a incidentes y otros peligros asociados con los sistemas y datos de la organización.
- Cumplimiento normativo de TI. Las regulaciones relacionadas con la tecnología, como PCI-DSS, LOPDP, GDPR, SOX (Sarbanes-Oxley Act) y otras, deben integrarse en la estrategia de gobernanza asegurando el cumplimiento de los requisitos legales y reglamentarios relacionados con la gestión de datos y la seguridad de la información.
- Gestión de proveedores de TI: La estrategia de gobernanza debe abordar la gestión de proveedores de TI y la debida diligencia en la selección y supervisión de terceros que tienen acceso a sistemas y datos de la organización.
- Resiliencia y continuidad del negocio: La estrategia de gobernanza debe incluir planes de recuperación ante desastres, pruebas de continuidad y medidas para garantizar que la organización pueda mantener sus operaciones incluso en caso de incidentes de TI.
En la gestión de gobernanza corporativa empresarial los CEO como responsables de establecer la visión estratégica de la organización y de promover una cultura empresarial que priorice la ética, la integridad y el cumplimiento normativo tienen un papel protagónico y la misión de respaldar la inversión en tecnología, personal y recursos necesarios para implementar y mantener programas efectivos. Así mismo, deben impulsar el monitoreo y rendimiento de GRC a través de informes periódicos que les permitan medir los logros y objetivos establecidos de la organización. Con la información proporcionada por las áreas de GRC podrán tomar decisiones estratégicas e informadas para aprovechar las oportunidades de una buena gestión de riesgos.
TECNOAV, como representante de Diligent Corporation en el Ecuador, provee un portafolio de soluciones integradas para gestionar las prácticas de GRC y la toma de decisiones. Las soluciones de Diligent resuelven las necesidades de gestión y automatización en áreas como Analítica de Datos, Auditoría Interna, Control Interno, Gestión de Riesgos, Cumplimiento, Riesgos de TI y Gestión de Directorios Ejecutivos.