No es una sorpresa que en un clima económico con turbulencias los líderes ejecutivos estén enfocados en el crecimiento sostenible y la mejora de los flujos de cada, beneficios y retorno en la inversión (ROI) de los accionistas, para fortalecer la posición financiera de la empresa y protegerla de cara a futuros inciertos.

El impulso por el crecimiento está asociado con la necesidad de manejar un presupuesto prudente para este ejercicio económico del año 2023. El presupuesto asignado para inversiones en tecnología debe estar rigurosamente justificado, con un ROI claramente identificable.

Con esto en mente, la conferencia Inside Track on Modern Governance de Diligent reunió a un panel de expertos en gobierno corporativo para asesorar sobre cómo justificar la inversión en tecnología; cómo cuantificar el impacto de la tecnología y cómo realizar un seguimiento del ROI. Este artículo analiza lo que los profesionales del gobierno corporativo deben tener en cuenta al desarrollar el caso comercial para invertir en este tipo de tecnología para modernizar los Consejos de Administración.

 

¿Cuáles son los criterios para el ROI del gobierno corporativo?

Antes de explorar cómo justificar la inversión en tecnología de gobierno corporativo, le preguntamos a nuestra audiencia qué esperaban conseguir. Curiosamente, el principal beneficio buscado fue ‘mayor rendimiento de su gente’, con la mitad de los encuestados calificando esto como la medida principal para el ROI. Esto quizás no sea sorprendente dado el aumento de la carga de trabajo y los desafíos en la contratación y retención de talentos en muchos equipos de gobierno; existe una necesidad definitiva de habilitar a los equipos con tecnología que reduzca la carga administrativa y respalde las actividades estratégicas.

Empatados en segundo lugar quedaron ‘ahorro en tiempo y dinero’ y ‘acceso a la información y presentación de datos’, que fueron seleccionados por un 17% en cada caso. ‘Mejor comunicación y colaboración’ fueron la prioridad para el 13%, mientras que sorprendentemente pocos (3%) vieron ‘mayor seguridad’ como una métrica clave de ROI.

A la luz de estos puntos de vista, nuestro panel de expertos exploró los factores que deberían formar parte de un caso de negocios para respaldar la inversión en tecnología de gobierno corporativo.

 

Cómo justificar la inversión en tecnología de gobierno corporativo

Al presentar el tema, el director de producto y estrategia de Diligent, Dan Zitting, señaló que, por lo general, la justificación del ROI se presenta en una de tres formas:

• Mejora del rendimiento, generalmente medida en aumento de ingresos
• Eficiencia mejorada, medida en ahorro de costes
• Cuantificación financiera del riesgo evitado o mitigado por la inversión

La tecnología de gobierno moderno puede ofrecer beneficios en las tres áreas, pero la mejora de la eficiencia y la minimización de los riesgos de gobierno son sus áreas de influencia clave. Estos pueden ser más difíciles de cuantificar que el crecimiento directo de los ingresos, pero son fundamentales para el caso de negocios, particularmente en el entorno actual donde el gobierno corporativo se enfrenta a un escrutinio más estricto que nunca. El panel amplió los tres criterios de ROI en relación con el gobierno corporativo:

1. Riesgos de gobierno evitados

Beatriz Aruajo, Senior Counsel, Head of Corporate Governance de Baker & McKenzie, resumió la situación diciendo: “Si no haces las cosas bien siempre hay un coste, y si las haces bien, hay valor que agregar. Así que creo que es fundamental que las prácticas de gobierno sea correctas y hemos visto grandes escándalos, o más bien fallos en la gestión del gobierno: Enron, Lehman’s, Volkswagen […] Y se los puede achacar a la mal gobierno corporativo […]. Por lo tanto, un buen marco de gobierno es algo fundamental y, de hecho, ha estado ayudando a varias grandes empresas privadas y empresas que cotizan en bolsa”.

Al invertir en tecnología para respaldar el gobierno corporativo y la gestión de riesgos, las organizaciones pueden demostrar de manera más efectiva un enfoque riguroso y basado en datos para el gobierno y evitar algunos de los riesgos financieros, legales y, en última instancia, existenciales relacionados las malas prácticas.

2. Crear una ventaja competitiva

Lograr un buen gobierno no es solo una obligación regulatoria y ética, sino que también se ha vuelto cada vez más conectado con el posicionamiento competitivo de una empresa a la luz de las altas sanciones por fallas en términos financieros y de reputación.

El uso efectivo de la tecnología es tan fundamental para garantizar un desempeño de gobierno competitivo como lo es para cualquier otra área de los negocios. Clara Durodie , miembro experimentado de la junta, autora e inversor con experiencia en servicios financieros, explica: “No podemos seguir conservando nuestra participación de mercado [y] nuestros márgenes de rentabilidad si no cambiamos. Y la tecnología cambia la forma en que operamos, la forma en que nuestros modelos operativos, modelos de rentabilidad, modelos de empleo [funcionan], todo. Entonces, para seguir siendo competitivos, debemos adaptarnos y adoptar esta tecnología como una esencia de nuestra preparación para el futuro y nuestra existencia en el futuro. Entonces, la forma en que veo la conversación sobre ESG , […] es que agrego esa T [que representa la tecnología] después de la ESG”.

Posicionar la inversión en tecnología desde la perspectiva de su contribución al desempeño competitivo del negocio asegura que reciba la consideración que merece.

3. Empoderar a los equipos para el éxito y la estabilidad

Además del beneficio estratégico de mejorar el gobierno corporativo, la inversión en tecnología también tiene un aspecto humano considerable. Esto es relevante dadas las cargas de trabajo de alta intensidad que manejan los equipos de gobierno corporativo y los desafíos actuales en torno a la contratación y retención de talentos.

Hablando de su experiencia reciente, David Crowther, vicepresidente sénior de Corporate & Governance en Paysafe Group, explicó que un impulsor clave para la inversión de su empresa en tecnología moderna de gobierno fue apoyar a su pequeño equipo en su esfuerzo por ofrecer seguridad en los procesos y los datos. A través de una empresa multinacional de múltiples entidades: “Estábamos pensando en términos de personas ante todo y los recursos que teníamos; la capacidad que teníamos allí. Estábamos pensando en términos de procesos; en términos de los datos que queríamos ver y los datos que necesitábamos almacenar y si eran precisos y verificables”.

Desde la perspectiva de David, la tecnología es una parte importante de la garantía de datos de gobierno, pero está estrechamente relacionada con el empoderamiento de las personas para que sean eficaces y se sientan realizados en su trabajo; este es un elemento importante del ROI que debe formar parte del caso de negocios. Esto significa comprender las cargas de trabajo del equipo de gobierno, las presiones y, a veces, las prioridades contrapuestas de las diferentes partes interesadas con las que interactúa el equipo.

Al describir cómo la tecnología de gobierno corporativo puede capacitar al equipo para satisfacer mejor las demandas del negocio, se presenta un caso sólido para la inversión.

 

Desbloquear el ROI de la tecnología requiere un cambio en la cultura corporativa

Sin embargo, exponer el caso para el despliegue de tecnología es solo el comienzo. Muchas organizaciones estarán familiarizadas con la frustración que surge cuando invierten en tecnología que termina convirtiéndose en estantería debido a la falta de adopción. Esto podría surgir debido a la capacitación limitada de los empleados que resulta en una brecha de habilidades; resistencia a cambiar los procesos familiares; e incluso el temor de que los roles se vean amenazados cuando la tecnología irrumpe. Este es un gran obstáculo para desbloquear el retorno de la inversión.

María Santacaterina, Líder Estratégica Global y Asesora Ejecutiva del Consejo y autora del próximo libro ‘Adaptive Resilience’ , se enfoca en cómo las organizaciones unen la tecnología con las habilidades humanas para lograr el resultado óptimo. Ella advierte no apresurarse a implementar tecnología sin considerar su impacto humano, porque simplemente esperar que los empleados cambien su comportamiento solo porque se haya comprado una nueva herramienta es ingenuo. María aconseja explorar “quién es su gente, cómo piensan, cómo les gusta trabajar juntos”, para que pueda comprender los “sistemas sociotécnicos” que están operando en el negocio. Al llevar a los miembros de esos sistemas al proceso de selección de la tecnología, existe una mayor posibilidad de desbloquear ese ROI, porque las personas están preparadas y saben lo que viene.

“Van a adoptar la tecnología como un habilitador de sus capacidades, sus capacidades personales, en lugar de rechazarla. Y uno de los grandes problemas que veo es la resistencia. Y solo obtienes resistencia si tienes una de dos cosas, miedo o ansiedad. Así que no queremos eso. Lo que queremos es positividad. Queremos que la gente piense, ¿cómo puedo hacer que esta herramienta funcione para mí? La empresa ha gastado miles de millones, millones, lo que sea, pero ¿cómo puedo hacer que funcione para mí?

En resumen, construir un caso de negocios para respaldar la inversión en tecnología de gobierno corporativo requiere que las partes interesadas:

• Describan el entorno de gobierno actual, incluido el nivel de escrutinio al que se enfrenta la empresa.
• Identifiquen las brechas en la estrategia de gobierno de la organización y explique dónde la tecnología puede eliminarlas mediante la entrega de datos más completos, precisos y bien administrados.
• Cuantifiquen, en la medida de lo posible, el coste de los fallos de gobierno que pudieran surgir por falta de inversión.
• Analicen la carga de trabajo, la moral, la rotación de miembros del equipo y las áreas de potencial futuro del equipo que conseguirá la aprobación y puesta en funcionamiento la tecnología
• Incluyan los costes de gestión de cambios, incorporación y capacitación dentro del caso de negocios: es fundamental para desbloquear el ROI.

The post Por qué invertir en un software de gobierno corporativo appeared first on Diligent - España.

Conseguir que el Consejo de Administración se comprometa con los asuntos relacionados con la ciberseguridad debería ser cada vez más fácil. Casi todas las empresas se han digitalizado, o están en proceso de hacerlo, y los riesgos de interrupción de la infraestructura informática y los datos que contiene son cada vez más claros. Los ciberataques a sectores y organizaciones ya llegan con frecuencia a los titulares, y el panorama regulatorio se ha vuelto cada vez más duro con las infracciones —accidentales o deliberadas— que implican datos personales.

Esta evolución se ha producido al mismo tiempo que un cambio rápido, causado por la pandemia, hacia una mano de obra repartida en distintos espacios. Ahora, muchos trabajadores inician sesión desde redes domésticas y con dispositivos personales, por lo que las posibilidades de sufrir un ciberataque se han ampliado y el modelo tradicional basado en perímetros de ciberseguridad ha desaparecido.

Los CISO, que han liderado la defensa de estas fronteras digitales en constante cambio, comprenden todos los detalles del alcance y la escala de los riesgos a los que se enfrenta la empresa, así como las consecuencias de no adoptar una estrategia de ciberseguridad sólida. Sin embargo, hay un reto al que aún nos enfrentamos: cómo conseguir el compromiso del Consejo de Administración.

 

El CISO y el Consejo de Administración: separados por un idioma común

En un seminario web de TEISS que provocó un animado debate, los expertos debatieron cómo conseguir que el Consejo de Administración se comprometa con la ciberseguridad. Jon Herd, vicepresidente de Seguridad de la Información de la empresa de infraestructura de pagos Paddle, describió un escenario que podría ser familiar para muchos directores de seguridad de la información en sus presentaciones al Consejo de Administración:

«Muchas veces he hablado con el Consejo de Administración muy seguro de mí mismo y, aun así, luego no ha cambiado nada. El resultado no fue el que esperaba, y me quedé pensando «¿Por qué no han entendido lo que les he explicado? ¿Por qué no han entendido que hacía tantos gestos porque estaba emocionado y no porque hablaba de caos?»

Esta barrera de comunicación entre los profesionales de la ciberseguridad y el Consejo de Administración se debe, parcialmente, al miedo, la incertidumbre y las dudas que sienten muchos expertos en temas distintos de la informática cuando se les habla de la escala de las amenazas digitales. Los ataques de ransomware aparecen con frecuencia en los titulares y las vulnerabilidades de la cadena de suministro ocupan cada vez más espacio en las columnas, por lo que los consejeros están familiarizados con la narrativa del caos, pero conocen menos las posibilidades que ofrece un enfoque robusto de la ciberseguridad a las empresas. Lo que el director de Seguridad de la Información (CISO) debe hacer es enmarcar la estrategia de ciberseguridad en términos que su Consejo de Administración pueda entender.

 

Vincular la estrategia de ciberseguridad a la estrategia empresarial

Los expertos de TEISS aconsejaron no explicar las características y capacidades de la tecnología en la que se quiere invertir, sino centrarse en lo que permite que la empresa obtenga.

Este enfoque está más cercano al objetivo principal del Consejo, que es crear valor para los grupos de interés. Para los profesionales de la tecnología, es esencial comprender el objetivo y la estrategia de la empresa de la misma manera que el Consejo de Administración, así como responder a la pregunta: «¿Cómo puedo garantizar que lo que estoy haciendo contribuye al éxito de la empresa?».

Esta perspectiva debe determinar cómo se presenta la información al Consejo de Administración y garantizar que reciban información relevante que les ayude a tomar decisiones empresariales. Los CISO deben plantearse cómo afecta la estrategia de ciberseguridad a todos los grupos de interés relacionados con el Consejo: inversores, clientes, empleados y organismos reguladores.

En relación con esto, debe explicarse no solo lo que la inversión en ciberseguridad evita que ocurra —el tiempo de inactividad, las pérdidas financieras y los riesgos de cumplimiento normativo—, sino también lo que posibilita: la continuidad del negocio, la confianza de los clientes, una mejor experiencia de los empleados y la reducción de la complejidad. Esto es particularmente pertinente a medida que las empresas van actualizando su tecnología de ciberseguridad para usar soluciones nuevas, más fáciles de usar y menos intrusivas. Si ahora puede gestionarse la administración de la identificación de los usuarios de forma segura con menos inconvenientes, por ejemplo, habrá un aumento de productividad inmediato.

Es importante articular el mensaje alrededor de las personas, los procesos y la tecnología. Si las presentaciones para el Consejo de Administración se centran en los productos tecnológicos más avanzados e impresionantes, puede ser difícil para los consejeros establecer una conexión con el día a día de la empresa y las personas que la conforman. Esto es algo que se entiende de una manera más clara en relación con otros temas de riesgo, como la salud y la seguridad, y debe ser extrapolable a la tecnología de seguridad.

Jon Herd está en el proceso de comprender mejor la forma de pensar del Consejo de Administración: «Estoy haciendo un curso de consejeros no ejecutivos, pero no porque quiera convertirme en uno […]. Quiero entender cuáles son sus objetivos y sus obligaciones, para poder comprenderlos mejor».

 

Integrar el ciberriesgo de los datos y la privacidad en el contexto empresarial

Una de las funciones principales del Consejo de Administración es la supervisión estratégica del riesgo. Hoy en día, esto incluye, sin duda, el riesgo relacionado con los datos y la privacidad. En algunas jurisdicciones se exige específicamente que los consejos de administración supervisen el ciberriesgo.

Sin embargo, es importante tener en cuenta que los consejos de administración se enfrentan a muchos flujos de riesgo y problemas empresariales diferentes, y el ciberriesgo es solo uno de ellos.

El CISO de Diligent, Henry Jiang, cree que esto puede convertirse en una ventaja, especialmente si los datos sobre el ciberriesgo pueden comunicarse en un formato conocido y sencillo: «El modelo correcto es traducir el ciberriesgo al idioma del Consejo de Administración. Debemos tratarlo en términos de riesgos para las personas, los procesos y la tecnología, ya que así lo comprenderán, y comunicarlo de forma clara y constante: ya hay plataformas tecnológicas que lo hacen. Los consejos de administración ya comprenden otros tipos de riesgo, como el crediticio, el normativo y el legal, ¿por qué no presentar el ciberriesgo como otro más?»

A la hora de hablar del ciberriesgo, los CISO deberían tratar de utilizar el mismo idioma que usan los responsables del riesgo empresarial, afirma dice Jon Herd: «En tecnología tenemos tendencia a inventar formas nuevas de hablar de las cosas», señala, pero eso puede ser contraproducente. «El riesgo es un idioma que muchos ya comprenden perfectamente, el elemento nuevo es la ciberseguridad […]. Deberíamos hablar con el director de Riesgo o con el director financiero, y preguntar: “¿Cuál es el marco y el idioma que debemos usar nosotros para que vosotros lo entendáis?”»

La frecuencia con la que los consejos de administración deben recibir informes sobre el ciberriesgo ha aumentado debido a la velocidad a la que evoluciona este. La pandemia ha traído una época en la que los consejos de administración se reúnen con mayor regularidad debido al increíble ritmo de los cambios y al reconocimiento de que los factores externos, como las ciberamenazas, pueden cambiar de la noche a la mañana. Esto también mejora la comprensión básica de los consejeros cuando sucede un incidente.

 

Mejorar las habilidades del Consejo de Administración en cuanto a ciberseguridad y del CISO en cuanto a la participación del Consejo de Administración

En el contexto actual, los CISO deben situarse en el «punto de inflexión entre la tecnología y el riesgo», dice Chris Dunning-Walton, fundador y MD de InfoSec People. Sin embargo, los consejos de administración no deben pensar que basta con chasquear los dedos para tener un CISO que les transmita la información estratégicamente.

Chris considera que el Consejo de Administración debe trabajar desde una posición intermedia y, en un área tan importante como el ciberriesgo, señala que estamos viendo designaciones en consejos de administración de consejeros no ejecutivos que anteriormente eran CISO de la empresa, para ofrecer una perspectiva desde su punto de vista y convertirse en una especie de traductor.

«Creo que es una solución a corto plazo; la solución a largo plazo es aumentar y desarrollar el conjunto de habilidades de ese líder en el campo de la informática de su organización, para ofrecerle formación y desarrollar sus habilidades de liderazgo, para que sean capaces de entrar en la sala de juntas y presentar la ciberseguridad no solo como reducción de riesgos, sino como una ventaja para la empresa» continúa Chris.

 

Utilizar la narración para comunicar la evolución de los riesgos y las recompensas a lo largo del tiempo

A los CISO puede resultarles difícil encontrar el equilibrio entre comunicar los mayores riesgos de cada momento y ofrecer un panorama más estratégico a largo plazo.

Henry Jiang aconseja a los CISO: «No hay que asustar al Consejo de Administración, sino ofrecerles un mensaje sólido sobre dónde se necesita apoyo, ya sea organizativo, financiero o en otras áreas. O puede informarles de que no hace falta apoyo en ese momento porque todo va bien».

Chris Dunning-Walton está de acuerdo, y añade: «El papel del CISO no es solo conseguir la mayor cantidad de dinero […]. Se trata de equilibrar las necesidades de la empresa con el riesgo externo […], no solo para tratar de obtener el mayor importe posible».

Desde su experiencia, Jon Herd sugiere: «No se limite a comunicar los mayores riesgos ni los que ocupen los titulares en ese momento. Cuénteles una historia, de la misma manera en que lo hacen Finanzas y Ventas, explicando: «Estábamos aquí, está sucediendo esto y hacia allí es donde vamos. Es una historia, no algo puntual».

Jon cree que este enfoque es el que consigue más compromiso, porque es lógico y tiene sentido para el Consejo de Administración en el contexto de la estrategia empresarial global. Crear una historia que ofrece un contexto a la ciberseguridad proporcional a la empresa y relacionarla con la cuenta de resultados, los costes, los riesgos y las recompensas implica que los consejeros vean la lógica de la ciberseguridad en relación con la misión y el objetivo de la empresa.

Descubra más consejos de expertos para conseguir que el Consejo de Administración se comprometa con la ciberseguridad: viendo este webinar y puede solicitar más información en la página web de Diligent.

The post Cómo conseguir la participación del Consejo de Administración en materia de ciberseguridad appeared first on Diligent - España.

La economía mundial se enfrenta a enormes desafíos. A los impactos de la pandemia y la guerra en Ucrania se une una inestabilidad económica que ha hecho temblar los mercados financieros, ha disparado la inflación y nos amenaza con entrar en recesión. Todo ello tiene repercusiones de gran calado a nivel empresarial. Desde el Consejo de Administración es necesario llevar a cabo una identificación y monitorización del impacto que todos los riesgos pueden tener en la empresa.

 

Con motivo de la IV Jornada Anual del Club de Consejeros de ESADE, con el apoyo y patrocinio de Diligent, pudimos asistir a interesantes ponencias y mesas de debate sobre la gestión de riesgos desde el Consejo, contando con la opinión de expertos y consejeros. Estas son algunas de las principales ideas que se analizaron.

 

Geopolítica y macroeconomía

Las grandes cuestiones que mueven la geopolítica tienen un impacto directo en nuestra economía y en nuestras vidas. Analizamos los principales acontecimientos y cómo influyen en la cadena de suministros, en la política monetaria, las relaciones internacionales y la dependencia de terceros.

Desde el Consejo es necesario considerar todos estos factores a tres niveles: a corto plazo, realizando una adecuada gestión de crisis, a medio plazo contando con un mapa de riesgos que se encuentre actualizado, que sea dinámico y global, y a largo plazo revisando la estrategia de la compañía, que definirá el apetito al riesgo que estamos dispuestos a asumir para garantizar la estabilidad.

 

Ciberseguridad

El riesgo de Ciberseguridad ya ocupa el primer puesto en la mayor parte de los rankings. Sin duda es un riesgo permanente y creciente, que puede ocasionar graves pérdidas económicas y daños reputacionales. En una sociedad digitalizada, donde los datos se han convertido en parte de la economía, estamos sujetos a una mayor probabilidad de ocurrencia debido al incremento de la criminalidad.

El Consejo debe contar con una estrategia Ciber que sea sostenible en el tiempo y que tenga carácter global. No se trata únicamente de la tecnología, debe estar integrada en el diseño de todos los procesos. Se trata de un asunto de largo plazo que debería formar parte de la agenda de los Consejos de forma continua.

 

Gestión del talento

Nos enfrentamos a una escasez de personal cualificado generalizada, de ahí la necesidad de gestionar el talento de forma diferenciada y cuidarlo muy bien. Ello implica un cambio cultural, adaptado a las nuevas formas de trabajar y que refleje las características del talento disponible, cada vez más exigente.

El Consejo, a través de la Comisión de Nombramientos y Retribuciones, debe aprobar las principales políticas y estar al día de los acontecimientos en esta materia. Asuntos como la pérdida de talento senior, la dificultad de retener talento joven, incentivos adaptados a la estrategia, temas de diversidad e inclusión, han pasado a ocupar la agenda de la CNR en todas las empresas.

 

Cambio Climático

La incorporación de objetivos cero emisiones, en línea con los objetivos de los Acuerdos de París, implica hacer cambios en cadenas de producción, fuentes de energía y formas de actuar. El Consejo debe velar por la integración de la sostenibilidad en el negocio, sin caer en el greenwashing. Resulta imperativo empezar con una buena gobernanza, tener una estrategia clara y comunicarla bien. A continuación, será necesario establecer objetivos concretos, medirlos e identificar indicadores clave para su seguimiento. Por último, incorporarlos a los incentivos del personal clave y construir un sistema de reporting sistemático, integro y representativo, al que dar seguimiento.

 

Los últimos años nos han demostrado que riesgos que considerábamos altamente improbables y ni siquiera teníamos en el Mapa de riesgos pueden suceder e impactarnos. Vivimos en un estado de crisis permanente y debemos estar preparados para ello. Por eso, la labor de todos los Consejeros, junto al equipo directivo, de identificación, análisis y seguimiento continuo de los riesgos se ha convertido en una de sus principales tareas. Ser conscientes de  cuáles son estos riesgos y cómo afrontarlos es clave para que la empresa pueda seguir desarrollando su negocio en un entorno de estabilidad y sostenibilidad.

The post La gestión de los riesgos desde el Consejo appeared first on Diligent - España.