Categoría: GRC y gestión del riesgo

Governance, Risk, and Compliance

Debates por cada una de las letras del GRC

El GRC no es un software, en primer lugar, es un marco de trabajo para las organizaciones que se puede complementar con alguna aplicación.


Las expectativas en el sector del GRC (Gobierno, Riesgo y Cumplimiento / Governance, Risk y Compliance) son crecientes, se espera que su demanda aumente considerablemente, porque se presenta como una herramienta que puede ayudar a las organizaciones, a grosso modo, en dos aspectos:

  • Medida preventiva para gestionar panoramas de crisis/riesgo como el que aun se esta atravesando
  • Gestión de un marco legal que esta cambiando. Las regiones, países y organismos internacionales pasarán por una prolongada etapa de revisiones y ajustes al conjunto de sus normas y leyes.

El GRC no es un nuevo concepto, quizás una moda, pero hoy por hoy, hay cierto interés que genera debate,  sobre todo, por el alcance de cada uno de los grandes conceptos que lo conforman. Leyendo un artículo al respecto, podemos decir que estamos de acuerdo en lo siguiente:

  • El GRC no es un software, en primer lugar, es un marco de trabajo para las organizaciones que se puede complementar con alguna aplicación.
  • No es gestión de procesos de negocio, que busca mejorarlos.  No es Business Process Management (BPM), en todo caso, el GRC podría ser un subcomponente del BPM.

Bueno, más ingredientes para la sopa de letras, como diría un compañero de trabajo, si sigue así “la cosa”, requeriremos más especialistas en ATL (Acrónimos de Tres Letras)

GRC Maturity Model, Para saber dónde estamos y el camino por recorrer

Maturity Model, es un método de cuatro fases, útil para una implementación progresiva del GRC, ayuda a identificar un punto de partida y definir una ruta para implementar un marco de trabajo GRC en toda la organización.


Las organizaciones tienen a los inversores o socios que exigen cada vez más garantías para sus inversiones y por otro lado, cuenta con mayores entes reguladores que supervisan el cumplimiento de normativas que nunca dejan de presentar “novedades”.

Para poder atender estas necesidades con éxito están las plataformas GRC.   Maturity Model, es un método de cuatro fases, útil para una implementación progresiva de GRC, ayuda a identificar un punto de partida y definir una ruta para lograr un marco de trabajo GRC en toda la organización.

Fase 1: ¿Por dónde comenzamos?

Las empresas se concentran en el cumplimiento de normativas básicas, tales como el pago impuestos, presentación de documentación en forma y fondo preestablecido por organismos reguladores tributarios/financieros.  Esta fase es la que se encuentran, generalmente, la mediana empresa, focalizada en la operativa diaria.  La escasa o nula inversión en herramientas que ayudan a satisfacer los lineamientos del GRC, es característica de esta fase.

Fase 2. Los primeros proyectos

Algunos proyectos de GRC se van desplegando, atendiendo necesidades parciales, son iniciativas, básicamente, tácticas.

Fase 3. Consolidación de Proyectos

Las aplicaciones aisladas son unidas y consolidadas, un amplio marco GRC es establecido.  Paso a paso, en algunos departamentos se definen proyectos “pilotos”, para luego replicarlo en el resto de la organización.  El estado de cumplimiento de actividades y los riesgos de la organización, podrán ser informados de forma consolidada.

Fase 4. Integración total con las operaciones diarias

Habrá integración total, táctica y estratégica, del GRC con las operaciones de negocio.  Esta integración se realizará gracias al uso del marco de trabajo GRC con los ERPs de las organizaciones y otras aplicaciones.  Se podrá obtener una visión general de los procesos de negocio con los proyectos y tareas GRC.  Toda la organización, en todos los niveles, se implica en esta fase.

Referencia : Toolbox for IT (SAP Community)

Próxima edición de macro evento SAP: Financials + GRC + HR

Del 17 a l 19 de noviembre 2010 en Barcelona, tres eventos SAP: Financials, GRC y HR


Del 17 a l 19 de noviembre en Barcelona, se realizará la siguiente edición de los tres eventos SAP celebrados recientemente en Orlando: Financials, GRC y HR.  No hemos encontrado una documentación oficial del evento, pero pensamos que no varíe mucho con respecto a los folletos anteriores, quizás luego tengan un matiz local:

Los tags utilizados en Twitter para acceder y compartir información relacionada a estos eventos son: #fin2010, #grc2010 y #hr2010.

¿Toyota necesitaría una plataforma de software GRC?

Las empresas, además de los riesgos que se enfrentan en su gestión y producción, tienen que desenvolverse dentro de un marco legal y regulatorio que no cesar de crecer. Para superar estos contratiempos, existe una categoría de soluciones denominadas Governance, Risk and Compliance


Nos planteamos esta pregunta sin saber si realmente cuenta con alguna solución de este tipo, si ese fuera el caso, entonces nos preguntaríamos ¿Toyota necesitaría renovar su software de GRC?  Los problemas relacionados a la calidad y seguridad de varios de los modelos que ofrece el primer fabricante de vehículos del mundo, no cesan, el más reciente le corresponde a Corolla, uno de los modelos más vendidos de Toyota.

¿Cómo una organización, en cuestión de meses, de ser referente en calidad/seguridad y en la gestión de empresas, puede pasar a ser investigada y cuestionada? Quizás una de las causas sea la excesiva presión que ejerce a sus proveedores de componentes para que reduzcan sus costes, poniendo en juego la calidad de sus productos.  Sea cual fuera el origen de esta crisis en Toyota, ¿no hubieran tenido alguna forma de identificar estos riesgos a tiempo y actuar en consecuencia?

Pero como muchas veces ocurre, las medidas preventivas vendrán después del escándalo, representadas en leyes o reglamentos, tal como ocurrió con el caso Enron y la posterior ley SOx.

Las empresas, además de los riesgos que se enfrentan en su gestión, tienen que desenvolverse dentro de un marco legal y regulatorio que no cesa de crecer.  Para superar estos contratiempos, existe una categoría de soluciones denominadas Governance, Risk and Compliance, las cuales pueden brindar los siguientes beneficios:

Eficiencia.  Si se tiene el control centralizado de la seguridad y la documentación de la misma en un mismo lugar, se disminuye el coste de su gestión y se incrementa la eficiencia, facilitando las labores de auditoria interna y externa.

Reducción del riesgo.  Los riesgos pueden surgir por el incumplimiento de una alguna ley, pero también puede ser origen de una inacción por parte de la misma organización.  Consolidando los procesos, se puede lograr obtener una visión integral, facilitando la identificación oportuna de las zonas de exposición.

Apoyo a la toma de decisiones.  Una adecuada implementación de una solución GRC podría contribuir a tomar cierto tipo de decisiones, como la valoración de los riesgos y cumplimientos en la probable adquisición de una compañía o la externalización de un área de servicios.

Referencia:  SearchSAP.com

Crowdcast: Identificación del Riesgo a través de la Inteligencia Colectiva de las organizaciones

En el marco del evento GRC2010, SAP ha anunciado su asociación con Crowdcast un proveedor de soluciones de gestión de la inteligencia colectiva en las organizaciones.


En el marco del evento GRC2010, SAP ha anunciado su asociación con Crowdcast un proveedor de soluciones de gestión de la inteligencia colectiva en las organizaciones, bajo un modelo software como servicio (SaaS), la aplicación Web realiza una serie de preguntas sobre determinados temas a lo colaboradores de la empresa, luego, todas las respuestas son procesadas y analizadas.

SAP considera que Crowdcast puede ser un buen complemento para su plataforma SAP BusinessObjects GRC en la identificación del riesgo, valorando que el conocimiento y la participación en la toma de decisiones no es responsabilidad de un grupo reducido de personas, sino de todos los miembros que conforman una organización.

GRC2010

Buscando información sobre el evento de SAP sobre Gobierno, Riesgo y Cumplimiento (Governance, Risk and Compliance / GRC) que comenzó el 16 de marzo, el resultado no ha sido muy abundante, lo específico y aún poco difundido concepto, se refleja en su baja repercusión en redes sociales e inclusive, en los sitios de información más habituales del fabricante; a pesar de las optimistas previsiones de crecimiento de Gartner para el mercado del GRC.

Referencias: