Cómo crear

su argumento
de negocios
para la
tecnología
GRC
 Tabla de contenidos
¿Por qué necesito
un argumento de negocios? 3

Desarrollo del argumento de negocios 4

Identificar a quienes toman las decisiones 5

Bosquejar sus dificultades 7

Demostrar el valor empresarial 8

Considere el panorama general 10

Implementación de
la solución 11

Conclusión 12

Sección extra 13
Qué buscar en una solución de tecnología GRC 13

2
¿Por qué necesito
un argumento de
negocios?
A la hora de lograr resultados, aparecen las dificultades. Usted sabe cuáles son
esas dificultades y que solo una herramienta de software especializado puede
solucionarlas.
Por eso, la lógica indica que el siguiente paso es
conseguir ese software y comenzar a usarlo, ¿cierto?
Pero hay obstáculos:
1.  Aprobaciones de presupuesto.
2.  Aceptación de la directiva.
3.  Gestión del cambio (planes de implementación y
adopción de los usuarios).
En su organización, como en muchas otras, los
recursos (en especial los presupuestales) siempre
son limitados, por eso es esencial crear un argumento
de negocios sólido y formal para la adquisición de
tecnología.
¿En qué consiste un buen argumento de negocios?
El argumento de negocios debe convencer de que el
software es necesario. Definir y explicar con claridad
cómo lo afectan las dificultades actuales y hasta
qué punto impiden que su equipo cumpla con los
objetivos de la organización. Y también cómo
con una herramienta de software especializado usted
puede superar las dificultades y aportar más valor
a la empresa. En última instancia, con esto logrará
el apoyo de quienes toman la decisión de proceder
con la compra de la solución y eliminará las barreras
presupuestales, de aceptación de la directiva y de
gestión del cambio.
Esta guía está diseñada para ayudarlo a desarrollar
un argumento de negocios, obtener el presupuesto y
persuadir a quienes toman las decisiones.
3
 Desarrollo del
argumento de
negocios
El nivel de detalle de su argumento de negocios depende de varios factores, entre
ellos, el tamaño de su organización, cuántas personas participan en la decisión
de la compra y los costos esperados, por nombrar algunos.

El desarrollo del argumento de negocios conlleva una

serie de pasos:

+  Identificar quiénes son los que toman las decisiones

+  Documentar y explicar claramente sus problemas y
dificultades
+  Demostrar el valor empresarial
+  Esquematizar la forma en que la solución apoya la
estrategia de la organización
+  Bosquejar la implementación de la solución y los
hitos de la línea de tiempo o del proyecto

4
Identificar a quienes
toman las decisiones
Es probable que usted ya cuente con el apoyo de su gerente para la compra
de una nueva solución de software porque conoce los problemas continuos. Pero
es probable que haya muchas más personas involucradas en el proceso de toma
de decisión.

Los responsables comunes (y no tan comunes) de Por este motivo, es importante convencer al
la toma de decisiones en el proceso de compra de departamento de TI de su visión, dado que ellos
software son: estarán involucrados en cualquier implementación
de software o puesta en marcha de sistemas y en las
+  Gerente de TI/de tecnología/de seguridad
conexiones de datos, y son socios vitales para el logro
informática/de información
de sus objetivos. Encontrar a los mejores exponentes
+  Comité de auditoría/director de auditoría
y obtener la aceptación de otras áreas funcionales
+  Su equipo
ayudará a fortalecer su argumento de negocios.
+  Otros equipos.
PATROCINADORES DEL PROYECTO
Al igual que el contenido de su argumento de
negocios, las personas que aprueban la compra de Encuentre patrocinadores para su argumento de
software suelen depender del tamaño y la estructura negocios. Son las personas que pueden ayudar
de la organización. a concretar su proyecto. Es posible que no estén
directamente involucrados en su equipo o área de
Si otros departamentos también usarán su
negocios, pero quizás sus funciones se solapen
software, deberá incluirlos en la lista de quienes
y cuando usted solucione sus dificultades,
toman la decisión. Por ejemplo, usted necesita
se beneficien también las actividades de sus
una herramienta que ayude a gestionar el diseño,
patrocinadores.
la administración y los reportes de los controles
internos. Es posible que otras áreas, como finanzas o
cumplimiento, tengan problemas similares.

5
6
Bosquejar sus
dificultades
A continuación, documente claramente las dificultades que enfrenta. Piense en
ellas como el principal motor para el cambio o la compra.

+  Nuestras herramientas de gobernanza actuales Cada organización tiene dificultades distintas que
son insuficientes para nuestras necesidades. resolver. Pero suelen resumirse en algunos temas
+  Nuestros procesos se han vuelto demasiado centrales comunes, por ejemplo:
complejos para gestionarlos a mano.
+  Tareas manuales onerosas y recursos humanos
+  Nos gustaría ampliar nuestro programa de
desperdiciados
gobernanza más allá de nuestro departamento.
+  Sistemas independientes y barreras dentro de la
+  Tenemos varios orígenes de datos independientes
organización
que es necesario conectar y administrar.
+  Soluciones tecnológicas insuficientes y obsoletas
+  Necesitamos una herramienta que centralice todas
como las hojas de cálculo
las actividades y administre todo el flujo de trabajo
de gobernanza. +  Datos inexactos y errores humanos

+  Nos gustaría comenzar a usar (o ampliar el uso de) +  Requisitos normativos en constante crecimiento y
estudios analíticos de datos. cambio

+  Necesitamos contenidos y marcos normativos +  Escasez de habilidades, talentos y recursos.

integrados.
+  Necesitamos administrar un entorno complejo de
controles y riesgos.
+  Queremos optimizar nuestros flujos de trabajo.
Cualesquiera que sean las dificultades actuales,
es importante exponer con claridad el problema
y detallar el impacto de estas dificultades en las
actividades de negocios.

Los equipos de auditoría están en busca de un

sistema de administración de auditoría con potente
automatización y estudios analíticos de datos para
ahorrar tiempo y erradicar de sus procesos las hojas de
cálculo ineficientes y propensas a errores. Los equipos
de cumplimiento quieren centralizar y administrar
mejor la totalidad de sus normas, documentación de
cumplimiento y controles.
7
 Demostrar el valor
empresarial
El paso crucial para que los ejecutivos apoyen su visión en relación con el
software consiste en demostrar su valor empresarial: cuánto cuesta incorporar
una solución y cuánto va a beneficiar a la organización.

Para ello, es más sencillo centrarse en las ganancias cualitativas que en las cuantitativas, pero si puede dar
números o generar cifras estimadas que resulten convincentes, ayudarán a fortalecer su argumento.

¿CUÁNTO LE CUESTA A LA ORGANIZACIÓN NO +  Multas por falla de controles internos.

CONTAR CON UNA SOLUCIÓN? Las fallas del cumplimiento normativo pueden dar
lugar a grandes multas y sanciones; los problemas
Puede ser difícil cuantificar el costo de un nuevo
de incumplimiento tienen un costo promedio de
sistema (salvo que ya haya consultado a los 2
14,82 millones de dólares para las organizaciones.
proveedores), pero seguramente es capaz de estimar
+  Costos de consultoría/tercerización.
claramente cuánto le cuesta no tener una solución. Las
Es posible que existan costos innecesarios de
consideraciones al respecto incluyen cosas como: tercerización relacionados con la disponibilidad
de recursos y personal, que pueden eliminarse o
+  Tiempo desperdiciado en actividades manuales.
reducirse con el uso de un software de GRC.
¿Cuánto tiempo dedica su equipo a compaginar y
examinar las hojas de cálculo? ¿Cuánto tiempo se +  Mayores costos de SOX.
pierde con los datos erróneos u otras dificultades La generación de reportes de SOX es un
derivadas de las hojas de cálculo y otras costo importante para muchas empresas
actividades manuales? estadounidenses. Protiviti informó que el gasto
promedio anual de cada organización para cumplir
+  Costos de los fraudes. 3
con SOX fue de un millón de dólares. El software
Los fraudes representan un enorme drenaje de
especializado de GRC puede reducir enormemente
los recursos de las organizaciones. Las empresas
el tiempo de administración y el esfuerzo para el
gastan 2,66 dólares para combatir cada dólar de
1 cumplimiento de SOX.
fraude.
+  Mayores costos de auditoría externa.
+  Costos de los controles duplicados y el trabajo
El software aumenta la eficiencia y la eficacia de
redundante.
los procesos y ayuda a reducir los requisitos de
La duplicación de controles, pruebas, asuntos,
auditoría externa.
acciones y reportes en varias áreas de negocios
y el trabajo repetido le cuestan a la organización
horas de productividad, recursos y tiempo
desperdiciados.
1 LexisNexis, 2017, True cost of fraud (El verdadero costo del fraude)
2 FMP Global, 2018, The trust cost of non-compliance (El verdadero costo del incumplimiento)
3 Protiviti, 2018, Benchmarking SOX costs, hours, and controls (Comparación de costos, horas y controles de SOX)

8
Luego, intente asignar un valor a los tres elementos siguientes:
1.  Reducción del riesgo.
Si demuestra con claridad de qué forma la solución
reduce el riesgo de la organización, aumentará
significativamente el valor de la propuesta. Centre
el argumento en la forma en la que la tecnología
mejora los procesos de riesgos y controles, y
la supervisión de los riesgos (p. ej.: mediante
storyboards y reportes detallados de los riesgos).
Otros beneficios pueden incluir la mejora del
cumplimiento (p. ej.: menos hallazgos de auditoría
y sanciones regulatorias), mejora de la detección y
prevención de fraudes o un tratamiento más eficaz
de los riesgos (p. ej.: corrección más rápida).
2.  Mejoras de la eficiencia.
La tecnología, en especial la automatización,
ayuda a mejorar los procesos y la eficiencia de
los equipos de múltiples formas. (Aquí puede
mencionar cosas como la gestión más rápida y
económica de todos los aspectos de GRC: gestión
de auditoría, de riesgos, de políticas y controles, y
del cumplimiento).
3.  Mejora de toma de decisiones y rendimiento de
carácter estratégico.
Los beneficios estratégicos incluyen la mejora de
la supervisión (p. ej.: visión más precisa de los
riesgos y postura de cumplimiento), reducción de
la redundancia, mejora de la asignación del capital
humano y financiero, y toma de decisiones más
informadas (p. ej.: estudios analíticos de datos,
análisis de riesgos). Es más difícil cuantificar las
ganancias de rendimiento, entre las que pueden
incluirse operaciones optimizadas, ampliaciones
de mercado, nuevas oportunidades de negocios,
implementaciones de tecnología o compromiso de
los socios.
9
 Considere el panorama
general
Otra forma eficaz de "vender" y respaldar el argumento de negocios a favor del
software de GRC es hablar de lo que el software de GRC puede aportar a las
metas generales de negocios de la organización y a su estrategia.
Entre los mayores problemas que afectan a toda
la organización están las islas de información y
la falta de transparencia. Cuando las áreas de
negocios funcionan aisladas, se comparte menos la
información crítica y eso puede generar ineficiencias
que cuesten tiempo y dinero.
Integrar todo (auditoría, cumplimiento, gestión
de riesgos, etc.) en un sistema único puede ser
un poco ambicioso. Obviamente, usted quiere
solucionar primero las dificultades de su propia área
de negocios. Pero si puede mostrar además que
una solución de software integrado de GRC como
HighBond puede solucionar múltiples dificultades
de GRC en varias áreas de negocios, aumentar la
eficiencia, reducir gastos fijos y redundancias, y
brindar a la organización una visión mejorada y
holística de los riesgos, su plan será más valorado.
NIVEL ACTUAL DE MADUREZ DE GRC
Con el fin de respaldar mejor su argumento de
negocios, puede ser útil hacer una evaluación general
del nivel de madurez de GRC de la organización.
Esto permitirá mostrar dónde pueden estar las
eficiencias y las mejoras financieras y detallar cuál
puede ser el impacto sustancial de la tecnología en la
curva de nivel de madurez.
10
Un programa maduro de GRC que abarque toda la
empresa debe lograr tres objetivos:
+  Mejor postura frente al riesgo: indicada por
menores costos de capital y de las primas de
seguros.
+  Tratamiento eficaz del riesgo: representado
por la prevención del riesgo y la rápida y eficaz
corrección del riesgo.
+  Cumplimiento sistemático: indicado por la
reducción de los hallazgos normativos, de
auditoría y de cumplimiento, y también de las
demandas judiciales.
¿Cómo calificaría la madurez de cada función de
gobernanza?
0 = Inexistente: los procesos gestionados no se
aplican en absoluto
1 = Inicial: los procesos son ad-hoc y
desorganizados
2 = Repetible: los procesos siguen patrones
definidos
3 = Definida: los procesos están documentados y
se comunican
4 = Gestionada: los procesos se monitorean y se
miden
5 = Optimizada: se siguen y se automatizan buenos
procesos
Implementación de
la solución
Cree un mapa de ruta y una línea de tiempo para la implementación de la
solución. También debe identificar el equipo de implementación y otros recursos
requeridos.

EQUIPO DE IMPLEMENTACIÓN También puede ser útil pensar de qué forma la

Incluya a los mejores exponentes, líderes y
patrocinadores. Describa brevemente sus roles en
la implementación del proyecto y de qué manera
sus conocimientos ayudarán a guiarlo o facilitarlo.
(Identifique también los conocimientos que falten y
que tal vez puedan tercerizarse o los proporcione el
proveedor del software)
LÍNEA DE TIEMPO PREVISTA Y PRINCIPALES
HITOS ESTIMADOS
implementación y su incorporación harán que la
organización avance en la curva de nivel de madurez
de GRC. Si desea tener mayor impacto con el ROI y
con cómo puede mejorar los procesos de GRC de su
organización, sería conveniente tener enlaces a esto
en sus hitos y línea de tiempo, aunque sea necesario
hacer estimaciones sobre los resultados de esos hitos
del nivel de madurez.

Responda las siguientes preguntas lo mejor que

pueda:

+  ¿Cuánto prevé que lleve la implementación?

+  ¿Cuáles hitos del proyecto son claves para el
resultado?
+  ¿Cuáles fechas claves del proyecto involucran
personas/decisiones?

11
 Conclusión
Crear su argumento de negocios para GRC puede ser tan

complejo o tan simple como lo exija su organización.

Para algunas organizaciones puede ser un informe de

una página. Para otras, será un reporte estructurado

con todas las secciones y los principales elementos

detallados.

Recomendamos una estructura de reporte con niveles de

encabezado similares a los incluidos en este libro

electrónico para ayudar a identificar y comprender

los principales elementos del proyecto, respaldados

por un breve resumen ejecutivo y recomendaciones

sobre cómo proceder para la selección de proveedores

para solicitar demostraciones y avanzar en el proceso

de compra.

12
SECCIÓN EXTRA
Qué buscar en una
solución de tecnología
GRC
La elección de una solución de GRC puede representar una importante inversión
en tecnología.

Y existen muchos proveedores de tecnología GRC, por lo que la decisión de compra es difícil. ¿Cuál es el mejor?
¿Cuál solución es la mejor opción? Se trata esencialmente de recibir demostraciones de los proveedores
preseleccionados y considerar cuál se adapta mejor a sus necesidades. Pero debe asegurarse de que su
proveedor sea capaz de suministrar una solución de software que incluya los siguientes elementos y funciones.

01 Automatización 02 Facilidad de uso

La automatización es una función clave del
software. Si su proveedor no ofrece la posibilidad
de automatizar los flujos de trabajo o la creación de
reportes, debería seleccionar otra opción. La solución
debe ser capaz de automatizar los flujos de trabajo
repetibles para eliminar los errores humanos y
mejorar la toma de decisiones.
Es inútil implementar una solución demasiado
complicada con una interfaz de usuario mediocre
porque su equipo no querrá utilizarla. La facilidad
de uso probablemente se comprueba en las
demostraciones y al ver el software en acción, pero
también se pueden visitar sitios web con comentarios
de los usuarios como G2, Capterra, y sitios web de
analistas como Gartner para ayudar a definir este
aspecto.

13
 03 Visualización de datos/storyboards
Al comprar una herramienta con visualizaciones
potentes y análisis de tendencias, puede aprovechar
los datos de la organización y dar información
precisa de los riesgos sin el proceso manual y
frecuentemente propenso a errores de actualizar
hojas de cálculo de Excel y otros documentos. Debe
poder crear mapas de riesgo y tableros de mando a
nivel de la junta directiva con solo hacer clic en un
botón.
04 Estudios analíticos de datos
Su solución debe permitir el uso de capacidades
de datos avanzadas y ad hoc. Usted debe poder
configurar análisis de datos automatizados y
continuos para los análisis de fraudes y de riesgos.
La solución debe contar con la posibilidad de realizar
una serie de rutinas analíticas prediseñadas como
clasificación, estratificación, pruebas de duplicados,
antigüedad, uniones y coincidencias.
05 Evaluación y ponderación del riesgo
¿Qué tan fácil es cuantificar y clasificar los riesgos?
Algunas soluciones de GRC le permiten asignar
una calificación a cada riesgo, así como aplicar una
ponderación para clasificar los riesgos por su impacto
en comparación con otros. Esta pequeña función
realmente puede ayudar a priorizar las áreas de
negocios que deben atenderse primero.
06 Integración con una variedad de sistemas
Aquí es necesario tener en cuenta las integraciones
obvias (p. ej.: ERP y sistemas financieros) y también
herramientas menos obvias como Jira y Slack.
La capacidad de integrar la creciente lista de
herramientas, conectores de datos y sistemas de
terceros es una función esencial.
14
07 Escalabilidad
El software que le sirve ahora, ¿le seguirá sirviendo a
medida que crezcan sus datos? Los procesos de GRC
basados en datos suelen implicar una gran cantidad de
datos, a menudo de varios orígenes y con complejos
requisitos de procesamiento. El software debe ser
capaz de manejar los crecientes volúmenes de datos
de forma eficiente y confiable.
08 Compatibilidad con dispositivos móviles
¿El software puede usarse en cualquier lugar? Es
posible que tenga auditores y especialistas en
cumplimiento y control que necesiten iniciar procesos
y ver resultados mientras viajan y desde diversos
dispositivos. Considere si su proveedor admite el uso
de dispositivos móviles.
09 Seguridad
¿Cuántas son las capas de seguridad para acceder
a sus datos confidenciales y compartirlos? Los
privilegios de acceso, la protección contra filtraciones
de datos y un potente cifrado de datos son piezas
esenciales de la evaluación de una posible solución
de GRC.
10 Soporte técnico
La disponibilidad de un soporte técnico realmente
eficiente es un componente clave de un software
exitoso de GRC, en particular durante la fase inicial de
implementación.
 01
10
SOPORTE TÉCNICO
AUTOMATIZACIÓN
02
FACILIDAD DE USO

09
SEGURIDAD
03
VISUALIZACIÓN DE DATOS/
Qué buscar en STORYBOARDS

una solución de
tecnología GRC
(hoja de consejos)

08
COMPATIBILIDAD CON
04
ESTUDIOS ANALÍTICOS
DISPOSITIVOS MÓVILES DE DATOS

07 05
06
ESCALABILIDAD EVALUACIÓN Y
PONDERACIÓN DEL RIESGO

AMPLIA INTEGRACIÓN CON SISTEMAS

15
ACERCA DE GALVANIZE Galvanize ofrece soluciones de Nuestra familia integrada de
software como prestación de productos, incluyendo nuestra
servicios (SaaS) de gobernanza solución basada en la nube para
empresarial que ayuda tanto a gobernanza, gestión de riesgo y
gobiernos como a las empresas cumplimiento (GRC) y los productos
más grandes del mundo a insignia para análisis de datos, se
cuantificar los riesgos, erradicar los utilizan en todos los niveles de la
fraudes y optimizar el desempeño. empresa para ayudar a maximizar
las oportunidades de crecimiento
mediante la identificación y
mitigación de los riesgos, la
wegalvanize.com protección de los beneficios y la
aceleración del desempeño.

©2020 El software de Galvanize, Galvanize, el logotipo de Galvanize, HighBond y el logotipo de HighBond son marcas
comerciales o marcas registradas de ACL Services Ltd. dba Galvanize.
Todas las demás marcas son propiedad de sus respectivos dueños.