Christian Menda, Regional Director Iberia de OpenText, propone jugar una partida de Risk para explicar las bondades de los sistemas EIM para estrategias GRC.
Uno de mis pasatiempos favoritos siempre ha sido jugar en familia al “Risk”, el popular juego de mesa que permite conquistar el mundo territorio a territorio. Una tarde leyendo las reglas del juego se me ocurrió que el tema central está en línea con las estrategias de gobierno, riesgo y cumplimiento (GRC) de la mayoría de las organizaciones.
“Para ganar debes lanzar ataques, defender todos tus frentes, y expandirte a través de grandes continentes con valentía y astucia. Pero recuerda que los peligros, así como las recompensas, son altos. Justo cuando el mundo está al alcance de tu mano, tu oponente puede atacar y arrebatarte todo.”
Podríamos decir que parece sacado de las páginas de los libros de estrategia de muchas de las empresas que conozco. Y en esta era del Big Data y de la ubicuidad de la tecnología, se entiende que la información es clave para la estrategia corporativa, pero tampoco es un secreto que las organizaciones dedican mucho dinero y tiempo a proteger a sus clientes y a sí mismos de la pérdida de datos al tiempo que están al tanto de las medidas de cumplimiento gubernamentales.
Está claro que para ganar este juego del Risk en la vida real, las organizaciones deben tener dos armas en su arsenal, herramientas que ayudarán a simplificar y transformar los objetivos de gobierno, riesgo y cumplimiento (GRC) de una organización de forma muy eficiente. Las soluciones que tengo en mente son la Gestión de Contenido Empresarial (ECM) y la Gestión de Procesos de Negocio (BPM). Estas son algunas de las tecnologías que, particularmente cuando se usan juntas, maximizan el valor de la información a la vez que minimizan sus riesgos. La mitigación de riesgo es el objeto de GRC e incluye: gobierno de información para las normas, monitorización operacional, seguimiento del riesgo y auditoría de cumplimiento.
Los esfuerzos en GRC necesitan tiempo y recursos. La consultora Forrester ha revelado recientemente que el 89% de 211 empresas internacionales consultadas planean gastar este año más que el anterior en programas de gobierno de la información. Una encuesta realizada en 2015 de forma conjunta por OpenText y AIIM (Asociación para la Gestión de la Información y la Imagen) reveló que el 46% de las 1.200 organizaciones encuestadas tienen pensado invertir en software o servicios GRC en los próximos doce meses. Esta cifra incluía una división del 15% del gasto en licencias y un 12% en servicios cloud/SaaS para dar soporte GRC. Como cabría esperar para una función tan importante, pero donde existe poca experiencia en riesgo y cumplimiento a nivel interno, el 24% está buscando ayuda de servicios profesionales de consultoría.
OpenText entiende qué áreas de gobierno, riesgo y cumplimiento son las que más preocupan a las organizaciones. En nuestra encuesta también queríamos saber si las organizaciones usan ECM, BPM y otras tecnologías de Gestión de la Información Empresarial (EIM) y cómo lo hacen para solucionar sus retos de GRC y cuáles son sus planes para mejorar sus programas, procesos y herramientas de GRC.
Riesgo de reputación, gestión de normativas y protección de datos como principales preocupaciones
Una de las principales conclusiones de la encuesta global es que lo que mantiene en vela a los líderes empresariales no es la perspectiva de un gasto financiero por no operar acorde al cumplimiento, sino el miedo a dañar la marca, imagen y reputación de la compañía. El riesgo de reputación impulsa el doble el cumplimiento (para un 44% de los encuestados) frente a evitar multas (un 20%). Un 32% de los consultados consideran que “ser un buen empleado corporativo” es el motor principal para GRC. Este comportamiento puede observarse en muchas de las empresas que se están esforzando en asegurar que sus reglas y procesos sean compatibles con sus objetivos de responsabilidad social corporativa (RSC).
Mantener las políticas y procedimientos actualizados es un reto mayor (según un 40% de los encuestados) que estar al tanto de las novedades y cambios en las regulaciones (26%). Esto es fácil de entender si consideramos que muchas de las organizaciones siguen una mezcla de políticas adquiridas y adoptadas. Gestionar la documentación para demostrar el cumplimiento es considerado como el principal reto por un 19%. Incorporar capacidades EIM en el ciclo de vida de la norma (tales como gestión de registros para clasificación y retención, flujos de trabajo para automatizar los procesos de desarrollo de normas, y BPM para obtener vistas de paneles de control e informes) proporciona los controles y el rigor necesarios para gestionar estos documentos regulados. Nuestra encuesta desveló que únicamente un 9% de los consultados están seguros de que sus políticas están actualizadas. No es una cifra de la que podamos estar orgullosos. Por tanto, las organizaciones que invierten en una solución sólida basada en ECM y BPM como parte de su programa de GRC tienen más probabilidades de afrontar los retos de una gestión de políticas efectiva que sus competidores.
Los riesgos de seguridad (56%) y los riesgos de la privacidad de la información (52%) son los dos aspectos principales que más preocupan a las organizaciones encuestadas. Esto es comprensible si consideramos el alto número de brechas de datos que han afectado a grandes empresas de retail y que hemos visto últimamente en los medios. Los riesgos de reputación (48%) y regulatorios (42%) también aparecen entre las cuatro mayores preocupaciones de las compañías que afrontan problemas GRC, según el estudio. Los riesgos financieros y operacionales aparecen por detrás, pero preocupan de forma extrema a un 35% de los consultados.
La encuesta también desveló que hay una amplia variedad de puestos que consideran “propio” el programa GRC. El departamento legal o el director de cumplimiento (CCO) normalmente gestionan las actividades de gobierno, riesgos y cumplimiento. Sin embargo, sorprendentemente el 56% de las organizaciones consultadas confesaron no contar con un director de cumplimiento. Bajo nuestro punto de vista, en al menos la mitad de estas organizaciones nuestros resultados estarían basados en la falta de conocimiento de los participantes acerca de la existencia de este puesto.
Procesos y herramientas manuales aún generalizados
Existen temas recurrentes que surgen cuando preguntamos a los encuestados acerca de sus retos con varios procesos GRC. Mayoritariamente las organizaciones se quejan de lo siguiente:
- Hay sistemas múltiples y dispares que se utilizan para gestionar documentación de cumplimiento incluyendo documentos sobre políticas y procedimientos, información de proveedores y fabricantes y auditoría interna.
- Los procesos de soporte GRC son manuales e ineficientes, tales como llevar a cabo auditorías internas y aprobaciones de normativas.
- El uso de hojas de cálculo y otras herramientas propias es frustrante pero sigue siendo común, incluyendo su uso para seguimiento de controles internos, estatus de normativas o controles de cumplimiento.
Los resultados del estudio destacan la necesidad de un repositorio central y seguro que sea el sistema obligatorio de registro para información basada en cumplimiento, así como el deseo de cambiar de prácticas manuales y basadas en papel por procesos de negocio automatizados, auditables y más eficientes.
Completar el círculo GRC
A pesar de que para muchos está claro que un software de gestión de información empresarial (EIM) puede aumentar los objetivos de gobierno, riesgo y cumplimiento de una organización, muchas compañías aún tienen implementaciones ECM y BPM incompletas.
Nuestra encuesta ha revelado que las cinco principales funcionalidades ECM consideradas más importantes para el GRC incluyen gestión de registros, de documentos y de correo electrónico, seguimiento de auditoría y flujos de trabajo/BPM. Esto no debería ser una sorpresa ya que el contenido está en el núcleo del gobierno, riesgo y cumplimiento.
Por desgracia, muchas organizaciones luchan por conseguir la adopción universal por parte de sus empleados, sin habilitar capacidades de gestión de registros, usándolas poco o no optimizando BPM o flujos de trabajo. Otros entienden el valor que proporcionan estas tecnologías EIM, pero no son capaces de rentabilizarlas. Por ello es tranquilizador ver que el 67% de los participantes considera que los sistemas EIM son esenciales para el GRC y que necesitan estar optimizados para este propósito; y de forma adicional un 30% cree que EIM juega un papel básico a la hora de mejorar su solución puramente GRC. Por otro lado, un relevante 85% cree que los sistemas ECM/RM ofrecen capacidades clave que podrían ayudarles a alcanzar sus necesidades de cumplimiento.
Los participantes en la encuesta entienden que los componentes centrales de una plataforma GRC incluyen un repositorio central, mecanismos para automatizar los procesos de negocio y capacidades de creación de informes, todo ello inherente a suites ECM y BPM.
Y de la misma forma que un ejército al avanzar puede asegurar sus territorios en el juego del Risk, las organizaciones pueden utilizar tecnologías EIM para recuperar el control de sus problemas de gobierno, riesgo y cumplimiento.
