5 Tendencias de GRC: ¿Cómo evolucionarán la gobernanza, el riesgo y el cumplimiento?

La tasa de cambio en el mundo de los negocios es alucinante.

Los riesgos comerciales evolucionan a diario, desde proveedores externos hasta cadenas de suministro, problemas normativos, preocupaciones de privacidad, desafíos operativos, ataques cibernéticos, preocupaciones financieras, cumplimiento ambiental y más.

Estos problemas no son aislados: son riesgos interconectados que requieren soluciones integrales. La necesidad de un enfoque holístico y consciente de la gobernanza, el riesgo y el cumplimiento (GRC) nunca ha sido más importante para las organizaciones.

A medida que cambia el entorno comercial, las empresas deben evolucionar sus estrategias de GRC para mantener una visión integral de los riesgos interconectados, comprender las implicaciones financieras de esos riesgos y tomar decisiones más informadas en todos los niveles.

Aquí hay algunas tendencias de GRC para ayudar a su organización a adoptar un enfoque proactivo para transformar el riesgo en una ventaja estratégica.

1. Una cultura de resiliencia y agilidad para enfrentar los desafíos de GRC

Por mucho que lo intente, no puede evitar todos los riesgos. Las empresas deben desarrollar una cultura de resiliencia a medida que consideran y se preparan para las amenazas más apremiantes.

La agilidad en la gestión de riesgos se refiere a la capacidad de una organización para evitar un accidente. Por otro lado, la resiliencia es cómo una organización se recupera de ella.

A medida que su negocio se prepara para la inflación, la incertidumbre económica y el riesgo global de estanflación (una fuerte desaceleración del crecimiento), debe generar resiliencia para recuperarse de los obstáculos con un impacto comercial mínimo.

La resiliencia ha ganado importancia en los últimos años. Se integra con la gestión de riesgos de toda la empresa y funciona en toda la organización, proporcionando una visión integral de lo que está en juego. La agilidad y la resiliencia se complementan entre sí.

La agilidad ofrece una visión estratégica de la incertidumbre, mientras que la resiliencia ofrece medidas tácticas para involucrar a todos los departamentos. La resiliencia también es una cultura, ya que requiere la acción de todas las partes interesadas de la organización.

El experto en GRC Michael Rasmussen compara esta cultura con el cuerpo humano:

Si bien el 75 % de las organizaciones reconoce que los sistemas de tecnología en silos plantean un desafío de gestión de riesgos, solo el 35 % toma medidas a nivel empresarial para abordar el problema.

Cuando las empresas aprovecharon la tecnología inteligente y una visión panorámica del riesgo, PwC descubrió que sus directorios y ejecutivos tenían cinco veces más probabilidades de tener una gran confianza en la capacidad de la organización para brindar confianza a las partes interesadas, mayor resiliencia y mejores resultados comerciales. .

2. El papel del CIO está evolucionando

Los líderes tecnológicos, como los CIO, han superado sus roles "secundarios" o "back-end" de implementación de software y gestión de proyectos. Ahora están en el centro de las decisiones corporativas, convirtiéndose en tomadores de decisiones críticos en funciones comerciales centrales como marketing, ventas, desarrollo de productos y finanzas.

El informe Estado del CIO de 2022 encuentra que los CIO consideran que su función consiste en equilibrar la innovación empresarial con la excelencia operativa. Las tres cuartas partes de los líderes de TI esperan que su función mantenga su nueva importancia, impulsada por los esfuerzos acelerados de transformación digital, independientemente del enfoque cíclico de las organizaciones en los problemas de TI.

Y más del 80% de los CIO dijeron que son vistos como creadores de cambios, centrados en la innovación.

Este cambio drástico de la entrega de servicios de TI tradicionales a un rol más estratégico libera a los CIO para que se concentren en los objetivos comerciales. A medida que sus líderes tecnológicos presenten cada vez más casos comerciales a los ejecutivos, se beneficiarán de un enfoque de cuantificación de riesgos para lograr objetivos estratégicos y brindar información valiosa al resto del C-suite.

Las escalas de medición de riesgo más antiguas, como bajo, medio, alto, rojo, amarillo y verde, eran demasiado subjetivas y dejaban a las partes interesadas inseguras sobre cómo las decisiones de riesgo se alineaban con las necesidades comerciales. Al cuantificar el riesgo en términos monetarios, su organización puede tener un lenguaje de riesgo común que muestre su impacto en la generación de ingresos.

Este lenguaje compartido conduce a una visión compartida del riesgo, fundamental para la toma de decisiones comerciales, lo que eleva aún más el papel del CIO.

El lenguaje compartido de la cuantificación de riesgos también facilita la planificación y el análisis de escenarios, ya que las condiciones económicas obligan a las empresas a revisar sus presupuestos. Las estrategias de mitigación de riesgos difieren significativamente en costo y reducen el riesgo en diferentes cantidades. La cuantificación de riesgos permite a los CIO comparar las implementaciones de control, sopesar las mitigaciones apropiadas y proporcionar comentarios a la junta.

3. Los riesgos de terceros se vuelven más críticos y soportan más escrutinio

Las organizaciones confían cada vez más en terceros, desde la administración de instalaciones y la seguridad física hasta los servicios legales y el soporte técnico.

La incorporación de servicios de terceros puede hacer que su negocio sea más competitivo al permitirle aprovechar las habilidades especializadas y el conocimiento experto sin tener que cargar con el desarrollo de programas internos. Pero a medida que se expanden las relaciones con terceros y proveedores que tocan todos los aspectos de una organización, crece el potencial de vulnerabilidades de su organización.

Cuando trabaja con proveedores, sus riesgos se convierten en sus riesgos. ¿Y lo que es más? Los terceros trabajan cada vez más con los propios terceros. Cualquier incumplimiento o falla experimentado por sus terceros (y sus terceros) pone en riesgo su negocio. Además de las pérdidas financieras a las que se enfrenta debido a las vulnerabilidades de terceros, su organización corre el riesgo de sufrir daños en la reputación y la resiliencia operativa.

El setenta y tres por ciento de las empresas expresaron su preocupación de que los terceros ejerzan demasiado control sobre los datos de los clientes con privilegios y autorizaciones innecesariamente extensos. Y casi la mitad de las organizaciones informaron una violación de datos en el último año, y las tres cuartas partes atribuyeron la violación a un tercero con demasiados derechos de acceso privilegiado.

Además de las amenazas comerciales inmediatas que resultan de una infracción, la pérdida potencial de la confianza del cliente puede tener un impacto comercial cuantitativo más inmediato que las multas regulatorias o el riesgo reputacional. Según IBM, el 38 % del costo de una filtración de datos proviene de la pérdida de negocios. Eso suma un promedio de $ 1.52 millones.

Para generar y mantener la confianza del cliente en los proveedores externos, necesita un enfoque proactivo para la gestión de riesgos de terceros. En medio de la creciente incertidumbre económica, debe observar de cerca a las empresas de terceros como negocios: qué proveedores son de misión crítica y cuáles puede eliminar con un impacto negativo mínimo.

A medida que las organizaciones aprietan los tornillos para evaluar a los proveedores actuales y aprobar nuevas relaciones, la gestión de riesgos de terceros juega un papel clave. Como parte de un software GRC holístico, los programas de riesgo de terceros centralizan toda la información esencial sobre los proveedores de su empresa, lo que facilita la gestión del rendimiento, los costos y el riesgo.

La gestión eficaz de riesgos de terceros consta de tres componentes: un proceso coherente de selección de proveedores, una priorización significativa de proveedores y un control continuo.

Revisar procesos

Dado que los terceros llegan a todos los rincones de su organización, todos deben desempeñar un papel en la gestión de riesgos para garantizar que nada se escape. Como empresa, debe acordar los criterios de evaluación y el marco para evaluar a terceros. También debe decidir sobre las métricas clave de rendimiento.

Puede revisar los contratos para identificar a los proveedores que no cumplen con sus compromisos y hacer cumplir y administrar los acuerdos de nivel de servicio (SLA) de manera más rigurosa. Con el software de GRC holístico adecuado, cada miembro del equipo puede acceder a los datos, las herramientas y el lenguaje común necesarios para realizar estas evaluaciones.

Priorización

La mayoría de las empresas trabajan con docenas de proveedores. La mejor manera de garantizar el éxito de la gestión de riesgos de terceros es priorizar a sus proveedores críticos. Con estas clasificaciones, puede desarrollar un proceso de puntuación y una cadencia que refleje la importancia del proveedor.

Siga estos pasos para comenzar:

• Clasifique cada relación con terceros según lo esencial que sea para sus operaciones.
• Enumere los datos de cada proveedor o el acceso a la red: los sistemas y niveles de autorización.
• Para cada proveedor, detalle las operaciones y funciones potencialmente afectadas por un incidente.
• Utilice esta información para decidir qué detalles necesita para evaluar las vulnerabilidades de cada proveedor.

Monitoreo continuo

La mayoría de las empresas llevan a cabo cierta diligencia debida, pero muchas no controlan los riesgos de terceros más allá de una lista de verificación anual. Para entonces, la información podría estar desactualizada, los proveedores no cumplirían y su negocio estaría en riesgo.

Al monitorear continuamente su riesgo de terceros, se mantiene al tanto de las superficies de riesgo en evolución para mitigar las vulnerabilidades y crear planes de contingencia según sea necesario, basados ​​en datos en tiempo real en lugar de la información recopilada al comienzo de la relación.

TPRM es un deporte de equipo

La gestión del riesgo de terceros afecta a todos, desde los líderes empresariales y los equipos de auditoría interna hasta los departamentos legal, de cumplimiento y de TI. Con las herramientas adecuadas y una comunicación clara, su empresa puede gestionar los riesgos de los proveedores para protegerse a sí mismo y a sus clientes.

4. Incremento de las regulaciones ESG

La conversación sobre asuntos ambientales, sociales y de gobernanza (ESG) como parte de un GRC holístico ha aumentado recientemente, y los esfuerzos de ESG impulsan las decisiones de empleo, el comportamiento del consumidor, las deliberaciones de la junta y las estrategias de inversión.

Si bien a principios de 2022, empresas como BlackRock expresaron su opinión sobre hacer de la inversión sostenible una prioridad, las contradicciones entre las afirmaciones sobre los fondos ESG y sus informes reales despertaron el interés de los reguladores.

La Comisión de Bolsa y Valores presentó dos borradores de reglas para proporcionar pautas para los fondos ESG. Estas pautas exigirían que las empresas de inversión y las empresas incluidas en sus fondos demuestren sus afirmaciones de sostenibilidad antes de utilizar nombres relacionados con la sostenibilidad.

Más del 80 % de los consumidores cree que las empresas deberían dar forma a las directrices de ESG de forma activa, y casi todos los líderes empresariales (91 %) creen que su organización es responsable de actuar en cuestiones de ESG. Además, el 86 % de los empleados quiere trabajar para empresas que compartan sus valores.

Desde tomar medidas enérgicas contra la corrupción hasta mantener la responsabilidad por los objetivos de diversidad, equidad e inclusión (DEI) y reducir las emisiones, las empresas deben tomar en serio el monitoreo y los informes de ESG, o corren el riesgo de quedarse atrás.

Varios marcos guían qué factores ESG son más importantes para industrias específicas, pero EE. UU. no tiene un estándar establecido para ESG. Si bien los marcos brindan objetivos generales de informes, no brindan información sobre las prácticas de gestión de ESG en curso.

Para facilitar el monitoreo y la generación de informes, su organización debe abordar ESG como parte de su programa holístico de GRC. Al integrar sus iniciativas, datos y objetivos existentes en un sólido software GRC, obtiene una mayor comprensión de su progreso y riesgo ESG.

Estos esfuerzos darán sus frutos a medida que las empresas brinden cada vez más informes que demuestren que sus promesas ESG se alinean con sus acciones.

5. El trabajo híbrido introduce riesgos para las personas, riesgos cibernéticos

Una organización resiliente requiere estructuras flexibles y adaptables en todas las áreas operativas. Si bien el trabajo híbrido ofrece flexibilidad a los empleados, también aumenta el riesgo operativo.

Las organizaciones que trabajan para establecer su "nueva normalidad" en modelos híbridos deben adoptar el cambio y la agilidad para proteger los datos, administrar a los empleados de manera justa y cumplir con los objetivos de DEI.

Desafíos de la gestión del talento

Los modelos de trabajo híbrido introducen un nuevo riesgo para la fuerza laboral a medida que los gerentes se enfrentan a los desafíos de una fuerza laboral dual: establecer y mantener relaciones equitativas con los empleados remotos y en el sitio. Un peligro de los modelos de trabajo híbridos es que se basan en un estilo de "administración caminando", lo que podría ser una desventaja para los trabajadores remotos.

Para evitar tal discrepancia, su organización debe invertir en líderes. Bríndales capacitación y desarrollo para fomentar las habilidades de liderazgo virtual y ayúdalos a construir mejores conexiones y relaciones con los trabajadores remotos.

Su enfoque de la evaluación del desempeño también debe cambiar. No se concentre en el tiempo de un empleado "en la oficina". Base las evaluaciones en si los empleados cumplen con sus obligaciones laborales, independientemente de dónde trabajen.

Obstáculos a las iniciativas de la DEI

Los gerentes que navegan en entornos de trabajo híbridos pueden crear sin darse cuenta dos "clases" de empleados: trabajadores en la oficina con una conexión sólida con la cultura de la empresa y trabajadores remotos con menos apego a la empresa.

Las mujeres y las personas de color encuentran más satisfacción trabajando desde casa y es más probable que trabajen de forma remota que sus contrapartes masculinas blancas. Esta preferencia puede impedir la movilidad interna de algunos empleados subrepresentados y poner en peligro el progreso de los objetivos DEI de toda la empresa.

Para combatir este riesgo, use datos para determinar si la movilidad interna, la evaluación del desempeño y los beneficios de los empleados son equitativos.

Después de analizar los datos, identifique los problemas y adapte las estrategias del lugar de trabajo a enfoques más equitativos. Revise estas preguntas regularmente para ver si sus equipos se mantienen encaminados o si surgen nuevas inquietudes.

Ciberseguridad y amenazas de cumplimiento

Las violaciones de datos, las principales interrupciones de TI y los ataques de ransomware se han clasificado como los principales problemas de riesgo para las empresas de todo el mundo en 2022. El trabajo remoto, que contribuye a los crecientes riesgos de ciberseguridad, no va a ninguna parte. Más de las tres cuartas partes de los empleados con capacidad remota le dijeron a Gallup que planean trabajar de forma remota o en una capacidad híbrida al menos hasta 2022.

El Informe de comportamientos de seguridad de Tessian encontró que más de la mitad de los líderes de TI creen que sus empleados han adoptado hábitos de seguridad cibernética riesgosos desde que se volvieron remotos, y más de un tercio de los empleados están de acuerdo. Cuando sus empleados trabajan desde casa, dejan la relativa seguridad de las conexiones seguras de la oficina.

Los empleados remotos están más tentados a acceder a los materiales de trabajo en dispositivos personales. Agregue empleados que trabajan en cafeterías y otros lugares públicos, y tendrá una receta para el desastre cibernético.

Un estudio de HP Wolf Security descubrió que alrededor de un tercio de los empleados consideran que las políticas de seguridad son un impedimento, y muchos incluso trabajan para eludir las medidas de seguridad. Según la empresa de seguridad, casi todos los equipos de TI (91 %) han estado bajo presión para comprometer la seguridad a fin de mantener la continuidad del negocio, y 8 de cada 10 equipos identificaron el trabajo remoto como una "bomba de relojería" de una posible violación.

La protección contra filtraciones de datos y ataques de ransomware comienza con la actualización de las prácticas y políticas de ciberseguridad de su organización.

• Adopte la autenticación multifactor.
• Asegúrese de que la capacitación de los empleados refleje los últimos avances en protección de ciberseguridad.
• Por último, equipe al personal de TI para ayudar a los empleados a informar sobre comunicaciones sospechosas y sus propios errores sin temor a represalias.

Priorizar la gestión de riesgos

La gestión del riesgo es responsabilidad de todos. Cultivar una cultura de resiliencia y tomar el control de las relaciones con terceros mejorará su actitud frente al riesgo. El riesgo se convierte en una ventaja estratégica cuando empodera a su CIO como agente de cambio y se compromete con sólidas prácticas de monitoreo y generación de informes de ESG.

Al prestar la atención adecuada a su gente, el mayor activo y riesgo de cualquier organización, protege el progreso de DEI, combate las amenazas cibernéticas en constante evolución y garantiza que sus equipos sigan siendo eficientes en entornos híbridos complicados.

Mejorar las prácticas de ciberseguridad de su organización debe ser su prioridad. Elija el inicio de sesión único para que la autenticación sea más segura y sencilla para su empresa.