Close-up image of a hand typing on a laptop with folder icons hovering above.

Cómo la buena gestión de la información y el gobierno de la información ayudan a nuestros colegas de gobierno, riesgo y cumplimiento (GRC)

Por:
Jed cawthorne
julio 27, 2021

GRC es un acrónimo popular, y muchas grandes entidades corporativas tienen múltiples equipos de Gobierno, Riesgo y Cumplimiento distribuidos en diferentes divisiones y líneas de negocio, pero ¿qué es GRC? De Verdad?

La gobernanza, el riesgo y el cumplimiento es un conjunto de capacidades que permiten a una organización lograr objetivos de manera confiable mientras aborda la incertidumbre y actúa con integridad. Incluye políticas, procedimientos y tecnología habilitantes para un buen gobierno corporativo, aseguramiento y gestión del desempeño, riesgo y cumplimiento. Para desglosarlo aún más:

  • El gobierno es el acto de dirigir, controlar y evaluar externamente una entidad, proceso o recurso para lograr objetivos de manera confiable.
  • La Gestión de riesgos describe las acciones tomadas para gestionar los procesos y los recursos para abordar y mitigar los riesgos mientras se busca la recompensa, abordando así las incertidumbres en el entorno operativo empresarial.
  • El cumplimiento es el estado en el que se puede cumplir con requisitos específicos, incluidos los impuestos por organismos reguladores externos, asociaciones de estándares y gobiernos, actuando con integridad.

La forma y la forma de las actividades de GRC dependen de la organización y el entorno empresarial en el que operan. Existen industrias fuertemente reguladas, como el sector de servicios financieros o el sector farmacéutico, sanitario y biotecnológico, que pueden generar la necesidad de grupos especializados en Cumplimiento dentro de la organización. En otras industrias, las funciones de Riesgo Empresarial o Riesgo de TI realizan actividades específicas de GRC.

Las actividades de GRC pueden tener lugar en todos los niveles dentro de una organización. El modelo de las "tres líneas de defensa" se utiliza ampliamente:

  • Primera línea: propietarios y administradores de riesgos, principalmente en la línea de negocio.
  • Segunda línea: control de riesgos y cumplimiento, equipos de back-office
  • Tercera línea: garantía de riesgos, equipos de cumplimiento empresarial, funciones de auditoría interna

En las 3 líneas de defensa hay muchas tareas específicas y especializadas que deben realizarse:

  • Gestión de cumplimiento normativo requiere mantenerse al día con todas las regulaciones más recientes (y cambios a las existentes). A menudo, las herramientas regulatorias basadas en la nube se utilizan para administrar los detalles de la regulación, proporcionar alertas y administrar las obligaciones.
  • Mapeo de control ocurre una vez que sepa qué regulaciones afectan su negocio. Una vez conocidos, estos deben asignarse a los controles. Los controles de la biblioteca están disponibles a través de un software GRC especializado.
  • Gestión de políticas y procedimientos es el desarrollo, gestión, actualización y difusión de políticas y procedimientos a todas las partes interesadas involucradas en toda la organización.
  • Monitoreo y prueba incluye monitorear los controles que se han implementado y probar los procedimientos para asegurar que brinden los niveles adecuados de gestión y mitigación de riesgos.
  • Evaluaciones de riesgos y controles es la evaluación continua del riesgo y los controles diseñados para gestionarlo y mitigarlo.
  • Formación y educación depende de los requisitos de la industria y requiere capacitación anual y certificación de que se ha realizado.
  • Gestión de problemas - o 'gestión de casos adaptativa' específica de cumplimiento - es la política, el procedimiento, las herramientas y los procesos comerciales para gestionar los problemas que surgen de los procesos de GRC. Los problemas se pueden identificar en cualquiera de las 3 líneas de defensa.
  • Gestión de reclamaciones es un requisito para algunas industrias y dicta que deben existir políticas, procedimientos y procesos para gestionar las quejas recibidas de clientes y clientes.

Como se puede ver anteriormente, GRC es un espacio amplio y potencialmente complejo, y hay muchas herramientas especializadas disponibles, siendo algunas de las plataformas de GRC empresariales líderes IBM OpenPages, MetricStream GRC, SAP GRC y Thomson Reuters Accelus.

Estas herramientas especializadas tienden a centrarse en las Regulaciones, el mapeo de control, la evaluación de riesgos y los elementos de control de GRC y pueden ampliar significativamente las capacidades de GRC. Desafortunadamente, lo que estas herramientas no hacen bien, o no hacen nada, es administrar el gran volumen de documentos y correos electrónicos que se pueden generar mediante evaluaciones, pruebas, gestión de problemas y gestión de quejas.

Cómo pueden ayudar los profesionales de la gestión de la información

Como miembros de AIIM y profesionales de la gestión de la información (ya sea que trabajen en grupos de gestión de la información o en funciones de gobernanza, como equipos de gestión de registros), podemos ayudar a nuestros colegas de GRC con la experiencia, los procesos y la tecnología para mejorar sus esfuerzos para gestionar la masa de información no estructurada que generan. y trabajar con.

Al aprovechar los conceptos de gestión inteligente de la información, los profesionales de GRC pueden proporcionar estructura a los procesos y repositorios de contenido para mejorar la eficiencia y, en última instancia, ayudar a nuestros colegas a trabajar de manera más inteligente, no más ardua. Nuestros colegas de GRC son expertos en la materia en sus propios campos y es posible que no comprendan bien qué son los metadatos y cómo pueden ayudarlos a buscar información. Además, es posible que no tengan un buen conocimiento de cómo usar los servicios de contenido, las plataformas de administración de contenido empresarial u otras tecnologías para almacenar, organizar y recuperar una gran cantidad de documentos, correos electrónicos y otros artefactos generados por su gobierno, riesgo y procesos de cumplimiento.

Por ejemplo, en un importante banco canadiense, mi equipo de Gestión del conocimiento ayudó a un equipo de Cumplimiento que tenía que revisar una gran cantidad de informes a diario. Desafortunadamente, esto significó imprimir miles de páginas de papel, marcar físicamente ese papel para mostrar su trabajo, firmarlo y escanearlo para regresar a la línea de negocios. Cambiamos esto a un proceso basado en PDF, con resaltado y comentarios en el PDF, y obtuvimos la aprobación de que el proceso de guardar el documento en el sistema de administración de documentos (DMS) con sus metadatos de "última modificación por" y "fecha de última modificación" proporcionados una pista de auditoría mejor que una fecha y una firma en una copia escaneada. Este conjunto muy simple de mejoras ahorró cientos de horas a lo largo de un año, hizo que fuera mucho más fácil para los especialistas en cumplimiento y sus colegas de línea de negocios colaborar en un informe cuando se identificaba una discrepancia, y ahorró una cantidad considerable de dinero en la impresión y el almacenamiento de papel, que también contribuyó a los objetivos de impacto ambiental del banco.

A lo largo de su carrera, es posible que sus colegas de GRC sean proactivos para buscar ayuda; o simplemente se le pueden presentar oportunidades para educarlos y ayudarlos cuando surja la necesidad. Como siempre, debemos tratar de comprender sus problemas comerciales y puntos débiles para poder aportar nuestra experiencia en la gestión inteligente de la información para ayudarlos a mejorar su situación.

¿Cómo está trabajando actualmente su equipo con los colegas de GRC sin su organización? ¡Nos encantaría escuchar tus comentarios! Correo electrónico Brit Nowacki para compartir sus pensamientos.

Check out some employee quotes below!

"Great company, great products, great leadership, great people, great culture!"
"I love my team and peers. We are family, and we respect each other."
"NetDocuments encourages a good work/family balance."
"I feel respected and valued by leadership and my team."
"We work together and support/encourage each other to do our best work every day."
"From start to finish, my leaders are willing to guide me and let me try new things. This keeps work fresh, exciting, and fun so I don't burn out or get bored."
"I have clear direction in my work tasks and priorities. I also feel encouraged to put my family first and maintain a healthy work life balance."
"I work with highly motivated individuals who are smart and allow me to learn from them!"
"NetDocuments is committed to exceeding customer expectations by building leading products hosted in rock-solid environments."
"I'm empowered to try new things and think through processes and campaigns strategically. I can lean on my boss for support, but I'm not micromanaged, which is appreciated."