Información del panorama total de riesgos: El nuevo oro

Entonces, ¿cuál es la mejor manera de obtener una visibilidad completa de los riesgos más críticos? Si bien, consolidar la gestión de riesgos en un único sistema de gobierno, riesgo y cumplimiento (GRC) para toda la organización o en una solución integrada de gestión de riesgos, no es necesariamente la única respuesta. En la mayoría de los casos, el valor de un sistema GRC se deriva de su grado de integración y agregación de datos, más que de la propia tecnología. Eso no significa que todos los datos de riesgo deban consolidarse, ni que los datos tengan que interconectarse de manera constante. 

De hecho, la mayoría de las organizaciones tienen varios sistemas empresariales, como SAP, Salesforce, Workday y ServiceNow. Estos proveedores de tecnología están incorporando controles de acceso, procesos de cumplimiento e indicadores de riesgo en sus aplicaciones. Al hacerlo, descartan un único sistema centralizado de gestión de riesgos y controles. Además, muchos de los procedimientos GRC actuales están diseñados para especialistas en riesgos, mientras que otros sistemas empresariales especializados tienen una interfaz de usuario más contemporánea, una funcionalidad inteligente y están mejor alineados para administrar el problema específico que intentan resolver. Por esta razón,  para involucrar realmente a la organización en la gestión y propiedad del riesgo, los sistemas GRC deberían ser mucho más fáciles e intuitivos de usar. Además, algunos proveedores de tecnología GRC se están moviendo agresivamente para redefinir la experiencia del usuario y expandir el alcance de los riesgos que cubren. Es importante mencionar que resulta incierto que estos sistemas puedan ponerse al día y luego mantenerse a la vanguardia, dado el panorama de riesgos en evolución. Finalmente, en la mayoría de las situaciones, si una organización quisiera adoptar un enfoque de método único, podría ser simplemente demasiado oneroso, particularmente dado el desarrollo personalizado requerido para satisfacer requisitos complejos. 

Un renacimiento de la gestión de riesgos impulsado por datos 

Dados los obstáculos asociados, la centralización de la gestión integral de controles y riesgos operativos puede no ser factible o apropiada para muchas organizaciones. En cambio, la mejor solución puede residir en cómo la empresa recopila, agrega, alinea y maximiza el uso de todos los datos de riesgo a su disposición. Por ejemplo, los equipos cibernéticos, contra el fraude y contra el lavado de dinero tradicionalmente están aislados dentro de una organización, pero los atacantes pueden explotar las debilidades cibernéticas mediante el diseño de malware personalizado para eludir los controles de la red. Estos hackers luego detectan brechas en los controles de fraude para obtener acceso no autorizado a las aplicaciones y las identificaciones de los usuarios, configurar cuentas bancarias fraudulentas para recibir y transferir los fondos robados y lavar el dinero robado. Este tipo de ataque atraviesa silos, aunque es difícil de lograr, la inteligencia colectiva que reside en estos silos podría unirse a través de un centro de fusión. En tal caso, ¿se defendería mejor la organización contra los perpetradores que intentan explotar las debilidades en estas áreas? 

Por ejemplo, considera un gran minorista con la que trabaja PwC. Cuenta con 20 sistemas empresariales para gestionar áreas de incertidumbre específicas, como riesgo de terceros, auditoría de tiendas, privacidad y resiliencia. La empresa está implementando una solución GRC no para reemplazar estos sistemas especializados con un método centralizado de gestión de riesgos y controles, sino como una plataforma para consolidar los datos de riesgo, realizar mejores análisis y obtener una mejor inteligencia de riesgos en toda la organización. Ha diseñado sus interfaces para que cuando un incidente alcance el Nivel 1, ingrese al sistema GRC central, se trata de tener información relevante en tiempo real sobre eventos materiales. Apuntalar todo esto es una comprensión clara y común de qué riesgos son los más importantes para el negocio y cuál es el apetito de la organización por esos riesgos.