Cómo la buena gestión de la información y el gobierno de la información ayudan a nuestros colegas de gobierno, riesgo y cumplimiento (GRC)

GRC is a popular acronym, and many large corporate entities have multiple Governance, Risk, and Compliance teams spread across different divisions and lines of business, but what is GRC really?

La gobernanza, el riesgo y el cumplimiento es un conjunto de capacidades que permiten a una organization lograr objetivos de manera confiable mientras aborda la incertidumbre y actúa con integridad. Incluye políticas, procedimientos y tecnología habilitantes para un buen gobierno corporativo, aseguramiento y gestión del desempeño, riesgo y cumplimiento. Para desglosarlo aún más:

• El gobierno es el acto de dirigir, controlar y evaluar externamente una entidad, proceso o recurso para lograr objetivos de manera confiable.
• La Gestión de riesgos describe las acciones tomadas para gestionar los procesos y los recursos para abordar y mitigar los riesgos mientras se busca la recompensa, abordando así las incertidumbres en el entorno operativo empresarial.
• El cumplimiento es el estado en el que se puede cumplir con requisitos específicos, incluidos los impuestos por organismos reguladores externos, asociaciones de estándares y gobiernos, actuando con integridad.

La forma y la forma de las actividades de GRC dependen de la organization y el entorno empresarial en el que operan. Existen industrias fuertemente reguladas, como el sector de servicios financieros o el sector farmacéutico, sanitario y biotecnológico, que pueden generar la necesidad de grupos especializados en Cumplimiento dentro de la organización. En otras industrias, las funciones de Riesgo Empresarial o Riesgo de TI realizan actividades específicas de GRC.

Las actividades de GRC pueden tener lugar en todos los niveles dentro de una organization. El modelo de las "tres líneas de defensa" se utiliza ampliamente:

• Primera línea: propietarios y administradores de riesgos, principalmente en la línea de negocio.
• Segunda línea: control de riesgos y cumplimiento, equipos de back-office
• Tercera línea: garantía de riesgos, equipos de cumplimiento empresarial, funciones de auditoría interna

En las 3 líneas de defensa hay muchas tareas específicas y especializadas que deben realizarse:

• Regulatory Compliance Management requires keeping up with all of the latest regulations (and changes to existing ones). Often, cloud-based Regulatory tools are used to manage the regulation details, provide alerts, and manage obligations.
• Control Mapping occurs once you know what regulations impact your business. Once known, these must be mapped to controls. Library controls are available via specialist GRC software.
• Policy & Procedure Management is the development, management, updating, and dissemination of policy and procedure to all involved stakeholders across the organization.
• Monitoring & Testing includes monitoring the controls that have been put in place and testing the procedures to ensure they are providing the appropriate levels of risk management and mitigation.
• Risk & Controls Assessments is the continuous assessment of risk and the controls designed to manage and mitigate it.
• Training & Education is dependent upon industry requirements and requires annual training and attestation that it has been undertaken.
• Issue Management – or compliance specific ‘adaptive case management’ – is the policy, procedure, tools, and business processes to manage issues that arise from the GRC processes. Issues might be identified at any of the 3 lines of defense.
• Complaint Management is required for some industries and dictates that policy, procedure, and processes must be in place to manage complaints received from customers and clients.

Como se puede ver anteriormente, GRC es un espacio amplio y potencialmente complejo, y hay muchas herramientas especializadas disponibles, siendo algunas de las plataformas de GRC empresariales líderes IBM OpenPages, MetricStream GRC, SAP GRC y Thomson Reuters Accelus.

Estas herramientas especializadas tienden a centrarse en las Regulaciones, el mapeo de control, la evaluación de riesgos y los elementos de control de GRC y pueden ampliar significativamente las capacidades de GRC. Desafortunadamente, lo que estas herramientas no hacen bien, o no hacen nada, es administrar el gran volumen de documentos y correos electrónicos que se pueden generar mediante evaluaciones, pruebas, gestión de problemas y gestión de quejas.

Cómo pueden ayudar los profesionales de la gestión de la información

Como miembros de AIIM y profesionales de la gestión de la información (ya sea que trabajen en grupos de gestión de la información o en funciones de gobernanza, como equipos de gestión de registros), podemos ayudar a nuestros colegas de GRC con la experiencia, los procesos y la tecnología para mejorar sus esfuerzos para gestionar la masa de información no estructurada que generan. y trabajar con.

Al aprovechar los conceptos de gestión inteligente de la información, los profesionales de GRC pueden proporcionar estructura a los procesos y repositorios de contenido para mejorar la eficiencia y, en última instancia, ayudar a nuestros colegas a trabajar de manera más inteligente, no más ardua. Nuestros colegas de GRC son expertos en la materia en sus propios campos y es posible que no comprendan bien qué son los metadatos y cómo pueden ayudarlos a buscar información. Además, es posible que no tengan un buen conocimiento de cómo usar los servicios de contenido, las plataformas de administración de contenido empresarial u otras tecnologías para almacenar, organize y recuperar una gran cantidad de documentos, correos electrónicos y otros artefactos generados por su gobierno, riesgo y procesos de cumplimiento.

As an example, in a major Canadian bank, my Knowledge Management team helped a Compliance team that had to review very large numbers of reports on a daily basis. Unfortunately, this meant printing thousands of pages of paper, physically marking up that paper to show their work, signing it, and scanning it in for return to the line of business. We changed this to a PDF based process, with highlighting and comments in the PDF, and gained approval that the process of saving the document into the document management system (DMS) with its “last modified by” and “last modified date” metadata provided a better audit trail than a date and signature on a scanned copy. This very simple set of improvements saved hundreds of hours across a year, made it far easier for Compliance specialists and their line of business colleagues to collaborate on a report when a discrepancy was identified, and saved a considerable amount of money in printing and storage of paper—which also worked towards the bank’s environmental impact goals.

A lo largo de su carrera, es posible que sus colegas de GRC sean proactivos para buscar ayuda; o simplemente se le pueden presentar oportunidades para educarlos y ayudarlos cuando surja la necesidad. Como siempre, debemos tratar de comprender sus problemas comerciales y puntos débiles para poder aportar nuestra experiencia en la gestión inteligente de la información para ayudarlos a mejorar su situación.

How is your team currently working with the GRC colleagues without your organization? We’d love to hear your feedback! Email Brit Nowacki to share your thoughts.