Un proveedor dedicado a gobernabilidad, gestión de riesgos y cumplimiento normativo




SAP, uno de los principales proveedores de sistemas de planificación de recursos empresariales (ERP), ha reconocido finalmente la necesidad de ofrecer sistemas que ayuden a las empresas a superar los retos inherentes al cumplimiento normativo y otro tipo de riesgos. Hace poco este proveedor lanzó su serie de productos más reciente, cuya parte central gira alrededor del cumplimiento normativo. Si desea obtener más información, consulte la primera parte de esta serie Gobernabilidad, gestión de riesgos y cumplimiento normativo desde el punto de vista de uno de los principales proveedores de software empresarial.

Poco tiempo después de que SAP adquiriera Virsa anunció que crearía una entidad de negocios de gobernabilidad, gestión de riesgos y cumplimiento normativo (GRC) para ofrecer a sus clientes soluciones GRC más completas. Al hacerlo, está ofreciendo una alternativa a las soluciones de punta de GRC fragmentadas que hay en el mercado, con el objetivo de ayudar a las empresas usuarias a hacer que GRC forme parte integral de sus negocios y sus estrategias de tecnología de la información (TI). SAP espera moderar la idea que tienen actualmente las empresas con respecto a la gestión de GRC, que presenta dos conjuntos de problemas: 1) procesos de negocios y sistemas extremadamente fragmentados, que agravan el costo de la gestión de riesgos y el cumplimiento normativo, y 2) poca o ninguna inversión en la identificación y la creación de un enfoque por etapas que lleve a una gestión completa de GRC.

Detrás de estos problemas está el riesgo inherente de coordinar y manejar estratégicamente toda la gama de infraestructuras de TI que son el soporte de los procesos y los sistemas en un ambiente de negocios de GRC. En virtud de lo anterior, se priva a las empresas de herramientas cohesivas y útiles para controlar y tratar el riesgo con eficacia. Al mismo tiempo, estos clientes siguen realizando inversiones y asignando recursos a las actividades que no generan ingresos o valor.

SAP aprovechó la adquisición de Virsa y su base sólida para el cumplimiento normativo por procesos y no tardó en anunciar que aumentaría su cartera de soluciones GRC para empresas grandes y pequeñas en septiembre de 2006. Hasta ahora, la cartera de SAP había estado bastante fragmentada a pesar de que contaba con muchos productos impresionantes que abarcaban varios requisitos de GRC para diversas industrias, pero agregó tres productos nuevos a su oferta de GRC y con ello ha dado inicio a un doloroso esfuerzo por dar a sus clientes una base unificada con la cual obtengan una solución GRC más completa que les permita gozar de una transparencia proactiva en toda la organización.

Eventualmente, con las soluciones de SAP los clientes obtendrán aplicaciones integradas para manejar los riesgos relacionados con los procesos de negocios y la infraestructura de TI, así como los riesgos operativos y corporativos de la empresa. La cartera de productos que tiene SAP actualmente trata los requisitos específicos de GRC para las empresas del sector público y de otras industrias, como química, de servicios financieros, petrolera, farmacéutica y de servicios.

Los tres pilares de GRC

Siguiendo la misma línea y para aumentar sus ofertas de GRC, SAP anunció tres aplicaciones nuevas basadas en arquitectura orientada a servicios (SOA) que diseñó para que fueran la base de GRC para prácticamente cualquier tipo de empresa, y que juntas actúan como componente básico de una solución de cumplimiento normativo más completa. Sobre esta base agregará servicios empresariales que deberán cumplir con los estrictos requisitos de diversos mandatos de GRC específicos para ciertas industrias. SAP se compromete a innovar constantemente cada una de las tres aplicaciones GRC nuevas, que corresponden con los componentes del esquema de GRC que mencionamos antes:

  1. SAP GRC Repository documentará y mantendrá la información de GRC en un solo sistema central de registros que incluirá las políticas de la empresa, las minutas de las juntas del consejo de administración, los reglamentos, los esquemas de cumplimiento normativo y control y los procesos del negocio que son clave para la empresa. Parte del contenido vendrá de ecosistemas de GRC externos, tales como agencias gubernamentales, consejos industriales, servicios de consultoría, etc. El componente también almacenará las bibliotecas de riesgos y control y las vinculará con varios esquemas de control y reglamentos internacionales, de manera que los socios del ecosistema de GRC contribuyan con su experiencia a mantener el repositorio. El objetivo de centralizar la información esencial de GRC es simplificar la gestión de riesgos, promover la transparencia en los negocios y recortar los costos relacionados con las iniciativas de GRC.

  2. SAP GRC Process Control ofrecerá un enfoque basado en los riesgos, que trata de alinear los controles principales con los riesgos de negocios para fomentar cierto comportamiento entre los empleados y optimizar los procesos de negocios. La aplicación de control de procesos reunirá los riesgos de los procesos de negocios de toda la empresa, dará pruebas del cumplimiento normativo e identificará las violaciones a los controles (en las políticas o los procedimientos) o revelará las diferencias que existan en los controles actuales para priorizar las medidas correctivas y evitar que se desarrollen y persistan debilidades materiales. El software integrará la supervisión automatizada de los controles para las aplicaciones tanto de SAP como de otros proveedores.

  3. SAP GRC Risk Management ayudará a los clientes a implementar procesos de gestión de riesgos en colaboración que permitan analizar profundamente los riesgos principales del negocio en varios niveles de la empresa y a través de sus entidades, sus procesos de negocios y sus infraestructuras de TI. Para ello, SAP diseñó procesos intuitivos y de colaboración para ayudar a los directores de riesgos y los propietarios del negocio a identificar los riesgos financieros, legales y operativos; analizar las oportunidades de negocios en vista de dichos riesgos y desarrollar las respuestas adecuadas.

El plan era ofrecer estos componentes de base al público a finales de 2006, vendiendo cada uno de ellos por separado. Sin duda, el plan que tiene SAP para GRC sigue estando en su etapa temprana y el tiempo dirá si podrá entregar productos más reales y tangibles y si estos productos tendrán éxito entre los clientes actuales y posibles.

En este momento no se conocen los detalles sobre el grado de integración que tendrá la cartera de productos de GRC de SAP (o si realmente piensa integrarlos) a la iniciativa de SAP NetWeaver y Enterprise Service Architecture (ESA). Tampoco se sabe mucho sobre los planes que tiene a mediano y largo plazo para sus productos de cumplimiento para cada industria y sobre los socios que está buscando con ellos.

Debido al número de clientes de Virsa que no son de SAP, el mercado verá cómo se adapta la oferta de GRC a los ambientes que no son de SAP. Por otro lado, si bien el gasto en cumplimiento normativo es un mal necesario para la mayoría de las empresas, hasta ahora se ha demostrado que es una inversión cuestionable desde el punto de vista cuantitativo y de retribución. En los últimos años, SAP se ha dedicado a analizar la retribución -lo llama "ingeniería del valor"- de los clientes que buscan justificar su inversión en productos de SAP. Por lo tanto, podemos esperar que los próximos productos GRC de SAP ofrezcan más valor para los clientes.

De cualquier forma, las aplicaciones nuevas contribuyen a la amplia experiencia de SAP y a sus soluciones actuales para los extensos requisitos de cumplimiento normativo de los distintos segmentos verticales de la industria, y al mismo tiempo reúnen todas las soluciones de GRC en un esquema GRC integrado. Desde luego, no hay que descuidarse de la competencia, ya que proveedores como el SAS Institute (consulte La lucha por mantener el liderazgo), Oracle, Hyperion, BusinessObjects o Cognos se han dedicado durante mucho tiempo a ofrecer aplicaciones para la gestión de riesgos relacionados con fraudes financieros o lavado de dinero -mucho antes de que empezara la locura con la ley Sarbanes-Oxley (SOX).

Asimismo, desde 2002, varios proveedores empresariales se han unido al grupo para ofrecer herramientas de cumplimiento con la ley SOX o las normas que dicta la Food and Drug Administration (FDA) de los Estados Unidos. Algunos de los más notables son Oracle, Microsoft, Lawson, Infor, LogicalApps, Oversight Systems y CODA. De cualquier forma, el esfuerzo que ha realizado SAP merece reconocimiento, ya que aún ahora este proveedor ofrece un conjunto de soluciones de GRC que cubre toda una gama de reglamentos en áreas como antiterrorismo, actividades contra el lavado de dinero, Basilea II, Solvency II, privacidad de la información, cumplimiento con la ley SOX y muchas más, a diferencia de las partes de soluciones para GRC que ofrece la competencia.

Lo más notable es que Oracle e IBM retaron y validaron hace poco la oferta integrada de GRC de SAP. Estos dos "gigantes" se han dedicado últimamente a consolidar varias aplicaciones que antes estaban fragmentadas y varios procesos relacionados con el cumplimiento normativo que forman parte de los módulos de gestión de contenido empresarial (ECM) adquiridos -de Stellent y Filenet- (o desarrollados de forma nativa), analítica, generación de reportes e inteligencia empresarial (BI), integración y middleware, control de acceso a los datos, etc.

La importancia de los socios

Asimismo, en un intento por reconocer la importancia que tiene la colaboración externa para la innovación, SAP se compromete a establecer y mantener un ecosistema de GRC que incluya expertos reconocidos en el área y líderes de pensamiento de diversas disciplinas, tales como consultorías en auditoría, gestión y riesgos; socios principales de software y tecnología y socios de información y contenido. Por otro lado, los socios de servicios profesionales deberán soportar este ecosistema de GRC, colaborando con su capital intelectual y sus mejores prácticas de contenido y metodologías.

Hace poco SAP anunció que establecería una relación estratégica en Norteamérica con Cisco Systems, el líder mundial de redes de Internet, con el fin de mejorar la eficiencia de las soluciones de GRC de SAP. Esta mejora implica aprovechar la Arquitectura de redes orientada a servicios (SONA) de Cisco dentro de la infraestructura de redes de TI. Estos dos proveedores han iniciado un acuerdo de mercadotecnia conjunta para los Estados Unidos y Canadá que busca tratar los procesos de negocios de GRC y los problemas de control de TI de toda la infraestructura de TI -desde la capa de la red hasta la de las aplicaciones. El objetivo de esta colaboración es aumentar más la eficiencia de la soluciones GRC de SAP, aprovechando al máximo la inteligencia de acceso e identidades de SONA de Cisco. El acuerdo de mercadotecnia que han celebrado comprende colaboración en las actividades de ventas y mercadotecnia y ofertas de servicios avanzados.

Los servicios inteligentes de SOA que se incluyen en las soluciones de redes de Cisco son redes orientadas a aplicaciones, comunicaciones unificadas y servicios de seguridad, movilidad e identidad. Para apoyar las plataformas de software GRC basadas en SONA, Cisco ofrece servicios de diseño, implementación y operación de arquitecturas para redes, basados en un enfoque en el ciclo de vida y en las necesidades específicas del cliente.

El enfoque Cisco Lifecycle Services define un conjunto crítico de actividades necesarias para ayudar a las empresas usuarias de GRC de SAP a implementar, operar y optimizar satisfactoriamente las infraestructuras basadas en SONA de Cisco. Por ejemplo, una empresa puede definir controles específicos que interroguen los grupos de datos que se transmiten a través de la red. Si alguien trata (voluntaria o involuntariamente) de difundir datos sensibles fuera de la empresa, los controles de Cisco pueden detectar, interceptar y bloquear el mensaje, notificar a los altos mandos de la violación y dar seguimiento al estatus del mensaje dentro de la cartera GRC de SAP. De cualquier forma, esta sociedad implicará un largo proceso de aprendizaje tanto para ambos proveedores como para los usuarios.

Es probable que los usuarios actuales -que no son de TI- de las soluciones y los prospectos de GRC (es decir, finanzas, auditorías internas, gestión de riesgos corporativos, etc.) crean que la participación de Cisco tiene menos importancia para sus propósitos a corto plazo. Por otro lado, cuando se trata de cumplimiento con TI, la sociedad no es exclusiva, y existen muchas soluciones alternativas viables para supervisión y filtros de contenido, gestión de identidades, gestión de eventos e información de seguridad, controles preventivos (como gestión financiera predictiva) y gestión de políticas y controles de seguridad. Hay proveedores como Sun Microsystems y Computer Associates (CA) que pueden tener papeles importantes en estas áreas.

Conclusión y recomendaciones

Todos los clientes que estén considerando las ofertas GRC de SAP deben exigir un análisis detallado de la retribución que identifique las ventajas cuantitativas y tangibles -no "temporales" y vagas. La naturaleza probabilística de la predicción de los riesgos hace que sea difícil producir cifras tangibles y definitivas. Pero por otro lado, no se puede esperar a que suceda un desastre y actuar por coacción. Los usuarios de SAP que ya hayan adquirido una solución de punta de GRC de otro proveedor no deberían pensar en cambiar de proveedores antes de que SAP ofrezca productos GRC más maduros.

Las empresas que estén usando soluciones de punta de cumplimiento normativo de SAP más antiguas y fragmentadas (por ejemplo, SAP MIC) y que estén listas a pasar a una plataforma GRC más uniforme, deben investigar cuál es la estrategia de migración a la solución GRC de SAP, pero también deben tomar en cuenta las ofertas equivalentes que pueden ser más competitivas. Los clientes que se centren en SAP y que estén buscando capacidades de automatización del cumplimiento normativo y supervisión de los procesos deben evaluar las soluciones de Virsa.

Los usuarios de soluciones como las de Virsa -que no son de SAP- deben tener cuidado con los compromisos inequívocos que hace SAP y con su plan, que implicará funcionalidad completa sin tener que caer en la trampa que pone SAP de introducción de componentes, ramificaciones de la integración o costos por licencias adicionales. Asimismo, dada la abundancia de soluciones de cumplimiento normativo, los posibles clientes deben ser estrictos al negociar, tanto con SAP como con sus socios, los precios del software y los servicios de GRC.

Con esto concluye la segunda de dos partes que conforman la serie Gobernabilidad, gestión de riesgos y cumplimiento normativo desde el punto de vista de uno de los principales proveedores de software empresarial.

 
comments powered by Disqus