La disciplina GRC, es una de las disciplinas con mayor auge en estas últimas dos décadas, tanto para el Gobierno, Riesgo y Cumplimiento, los datos representan un elemento crucial para la toma de decisiones, y los medios tecnológicos utilizados para su procesamiento, son más cruciales aún, sin embargo, el análisis completo de estos datos toma vigor dentro de toda esta disciplina, más aún, ha quedado demostrado por Christian Sillaber, Andrea Mussmann y Ruth Breu de la Universidad de Innsbruck, que el reflejo de esta calidad de los datos es complementario con el nivel de documentación que manejan las organizaciones, sin embargo, el mantenimiento de esta, es una labora compleja y laboriosa.

Apoyándose en TI

Si necesitamos que los datos sean de calidad, es necesario requerir el apoyo de las tecnologías de la información, entonces, ahí es donde nace la necesidad de implementar un conjunto de estándares, regulaciones, conocimientos y buscar la excelencia por parte de las tecnologías de la información, y la empresa acude a los proveedores de software GRC para la adecuada implementación de estrategias de gobernabilidad, y que la organización esté orientada a tomar decisiones basada en los resultados del proceso de riesgos de seguridad de la información. Ahora, analicemos un poco los métodos actuales existentes para implementar en las organizaciones, por ejemplo ISO 27001, la norma ideal para iniciar la seguridad de la información organizacional, este establece los criterios de calidad para controlar los riesgos de seguridad de la información, sin embargo, no deja muy en claro los criterios de calidad para los datos e información; lo mismo sucede con COBIT 5, este framework no deja en claro los atributos de calidad de datos e información a procesar en todo el flujo de trabajo que ofrece, sin embargo, si deja muy en claro los requerimientos de calidad fundamentales, en el principio Calidad de la gestión. Los investigadores mencionados anteriormente, resaltan que el futuro de las nuevos métodos de apoyo para la toma de decisiones, reforzarán el uso de técnicas cuantitativas para un profundo análisis de datos involucrados en el proceso de toma de decisiones.

Filtrando

Los investigadores, realizaron una encuesta a 18 profesionales en Gobierno, Riesgo y Cumplimiento relacionados a tecnologías de la información, uno de los primeros criterios que recalcan sus resultados, es que de todas las empresas y profesionales a encuestar, filtraron a aquellas donde las empresas presenten un Gerente o Responsable a tiempo completo a la seguridad de la información. Ello hizo que muchas organizaciones pequeñas y medianas, quedaran fueran de la encuesta (muchas de estas últimas, presentaban a personal con tiempo compartido entre la seguridad de la información y otras actividades). Como segundo criterio, y al quedarse con empresas grandes, todas manifestaban tener panoramas de seguridad de la información complejos, para fines de su estudio y claridad del mismo, se considera que un departamento de seguridad de la información tiene un panorama complejo, cuando este tiene 3 a más trabajadores a tiempo completo dedicado a esta disciplina. Como último criterio se aplicó el filtro de años de experiencia dedicados a este campo, como mínimo dos, para asegurar que tienen conocimiento pleno del uso de herramientas GRC dentro de la organización, además de considerar que dentro de sus dos años de experiencia, se tenga el conocimiento pleno de actividades organizacionales relacionados a temas económicos, como adquisición en la bolsa de valores, banca, etc. Lo común entre los seleccionados, es que muchos presentaban certificaciones internacionales relacionadas, tales como ISO 27001, COBIT 5, PCI DSS, ITIL, etc.

Resultados relevantes

Los diversos resultados, dejaron claros varios panoramas relacionados a su entendimiento con las herramientas del mercado. De los entrevistados, 16 de 18 manifestaron haber percibido frecuentemente datos incompletos en la herramienta GRC utilizada. Respecto a la falta de información de manera precisa y puntual cuando se requiere, 3 de los 18 manifestaron falta de consideración de recursos por parte de la herramienta, 1 de los 18 indicó que algunos de sus stakeholders no sabían que debían llenar cierta información de manera manual, ocasionando desinformación en cadena dentro de la herramienta. Otro entrevista de los 18 manifestó que la falta de integración es un factor importante para mejorar la toma de decisiones, ya que dicha información no se importaba automáticamente hacia la herramienta GRC, si no que se tenía que ingresar de manera manual en los campos de textos requeridos. La mitad de los entrevistados, manifestaron problemas de datos duplicados dentro de la herramienta. Otros cuatro entrevistados, manifestaron que uno de los problemas más comunes es la falta de identificación de conflictos entre documentos publicados. En otros resultados uno de ellos manifestó problemas de evaluación de riesgos al tener solamente a una persona encargad de la evaluación para 100 personas involucradas en el proceso a evaluar. Muchos otros resultados a considerar para evaluar a un proveedor de Software GRC son mencionados en esta investigación.

Consejo audit

Para lograr una calidad de datos e información, hay que vencer muchos obstáculos, una de ellos, el más grande, la integración con los otros sistemas que tiene la organización, por lo tanto, lo manifestado debe considerarse como factores críticos de evaluación de un producto GRC, claro está, la misma organización puede considerar sus propios criterios de selección de herramienta que lo apoyará en dicha gestión. En audit nos enfocamos en mejorar y hacer crecer nuestra plataforma aValue, con mejores características y mayor integración de datos de calidad.

Fuentes:

• Christian Sillaber, Andrea Mussman, and Ruth Breu, (2019) Experience: Data and Information Quality Challenges in Governance, Risk, and Compliance Management