Resumen De IA
El proceso de selección de un software GRC llega a un punto donde los demos ya se ven iguales. Todos muestran dashboards atractivos, todos mencionan los mismos estándares y todos prometen implementación en semanas. El RFI (Request for Information) es el momento donde ese empate se rompe.
Un RFI bien construido no es una lista de verificación genérica. Es una radiografía del proveedor: cómo trabaja, qué garantiza, qué no puede prometer y cómo responde cuando la respuesta correcta no es la más conveniente para él.
Por qué el RFI de un GRC es diferente a otras evaluaciones de software
Evaluar un CRM o una herramienta de gestión de proyectos implica preguntas sobre funcionalidad, precio e integración. El proceso de selección de software GRC requiere eso, y además algo más difícil de medir: la capacidad del proveedor de acompañarte durante años en un dominio regulatorio que cambia, en una organización que crece, ante entes supervisores que se vuelven más exigentes.
El GRC que eliges hoy va a almacenar los riesgos que identifiques en los próximos cinco años. Va a ser la fuente de evidencia que presentes en la próxima visita de la SFC. Va a ser la plataforma que el equipo de cumplimiento usa todos los días. Eso no es una decisión de software: es una decisión de gestión.
Un RFI que solo evalúa funcionalidad deja fuera las preguntas que más importan a largo plazo.
Las 20 preguntas organizadas por categoría
Funcionalidad y flexibilidad
1. ¿Los módulos son independientes o debo activar todos para que el sistema funcione correctamente?
Pide que te expliquen las dependencias entre módulos. La arquitectura de módulos de NovaSec es un buen punto de referencia de lo que debería poder activarse de forma independiente. Una plataforma que requiere activar módulos completos para funcionalidades básicas tiene arquitectura cerrada.
2. ¿Puedo configurar las escalas de valoración de riesgos sin intervención del proveedor?
Si la respuesta implica abrir un caso de soporte, la plataforma no es configurable por el usuario. Para entender en profundidad qué significa una plataforma verdaderamente adaptable, lee cómo evaluar si un GRC se ajusta a tu metodología real.
3. ¿El sistema soporta múltiples marcos normativos en paralelo con mapeo cruzado de controles?
Pide una demostración con dos marcos distintos, por ejemplo ISO 31000 y SAGRILAFT, corriendo al mismo tiempo.
4. ¿Cómo se gestiona el versionado de políticas y documentos? ¿El sistema mantiene historial de versiones con sus aprobadores?
El historial de aprobaciones es evidencia regulatoria. Si no existe, es una limitación técnica con consecuencias en auditorías.
5. ¿El sistema tiene módulo de BIA integrado con los módulos de riesgos y continuidad?
Los módulos desconectados generan silos de información que anulan el beneficio de tener una sola plataforma.
Implementación y adopción
6. ¿Cuánto tiempo toma una implementación estándar y cuántas horas de dedicación requiere del equipo interno?
Pide casos reales, no el tiempo mínimo del escenario ideal. Los tiempos de implementación se duplican en la práctica cuando el equipo del cliente no está dedicado.
7. ¿Cómo se hace la carga inicial de datos? ¿Tienen plantillas de migración para organizaciones que vienen de Excel?
La carga de datos es el primer obstáculo post-firma. Si no hay proceso documentado, espera semanas de frustración en las primeras fases.
8. ¿Qué capacitación incluye la implementación y qué queda documentado para los usuarios nuevos que entren después?
La rotación de personal es una realidad. Si la capacitación es solo presencial durante la implementación, cada nuevo integrante del equipo arranca desde cero sin soporte estructurado.
9. ¿Cuántos clientes de tu mismo sector han implementado la plataforma en los últimos 18 meses? ¿Puedo hablar con alguno?
Las referencias en el mismo sector son la validación más valiosa. Un proveedor que no puede conectarte con ningún cliente activo de tu vertical tiene poco que mostrar.
Soporte y continuidad del servicio
10. ¿Cuál es el SLA de soporte para incidentes críticos? ¿Tienen soporte en español en horario de oficina latinoamericano?
Soporte en inglés con sede en Europa y horario diferente al tuyo es soporte que no vas a usar cuando más lo necesitas.
11. ¿Cómo notifican las actualizaciones de la plataforma y con cuánto tiempo de anticipación?
Las actualizaciones que cambian flujos o funcionalidades sin aviso previo generan disrupciones operativas. Necesitas saber con cuánto tiempo de anticipación llegan esos cambios.
12. ¿Cuál es el uptime garantizado contractualmente y cómo pueden consultarse los incidentes históricos de disponibilidad?
El SLA de uptime en el documento comercial es una promesa. El historial de incidentes publicado o compartible es evidencia.
13. ¿Qué pasa con el soporte si la empresa es adquirida, fusionada o cambia su modelo de negocio?
El mercado de software GRC ha tenido consolidación. Una empresa con excelente soporte puede ser absorbida en 18 meses por un jugador global que centraliza todo en otro idioma y zona horaria.
Seguridad y datos
14. ¿Tienen certificación ISO/IEC 27001 o SOC 2 vigente? ¿Pueden compartir el certificado?
Para entender qué estándares de seguridad deberías exigir y por qué, revisa la guía completa sobre qué tan seguro es un software GRC en la nube.
15. ¿En qué país están alojados los datos? ¿Tienen opción de residencia de datos en LATAM?
Para organizaciones bajo supervisión de la SFC o con requisitos de soberanía de datos, la ubicación del servidor no es trivial.
16. ¿Cómo es el proceso de exportación de datos y en qué formatos? ¿Qué pasa con los datos al término del contrato?
Antes de firmar, revisa en detalle la guía sobre portabilidad de datos y vendor lock-in en GRC.
Precio y contrato
17. ¿El precio es por usuario, por módulo, por transacción o por empresa completa?
Los modelos de precio por usuario o por transacción pueden escalar de forma no lineal. Entiende cómo crece el costo si tu organización crece un 50% en los próximos tres años. La calculadora de ROI de software GRC puede ayudarte a validar si el modelo de precio que te cotizaron tiene sentido frente al valor que la plataforma genera.
18. ¿Qué está incluido en el precio base y qué tiene costo adicional?
Personalizaciones, capacitaciones adicionales, soporte premium, actualizaciones de marcos normativos: la diferencia entre el precio cotizado y el precio real al final del primer año suele estar en este detalle.
19. ¿Cuáles son las condiciones de terminación anticipada del contrato?
Un contrato que penaliza la salida anticipada incluso por causa justificada es una señal de alerta.
20. ¿Tienen experiencia con procesos de debida diligencia técnica para organizaciones en sectores regulados?
Si tu organización tiene requisitos de aprobación por parte de un comité de seguridad o tecnología, el proveedor debe haber pasado por ese proceso antes y tener documentación lista. Para organizaciones en Colombia que deben responder ante la SFC u otros entes, revisa también cómo un GRC prepara tu evidencia regulatoria.
Cómo interpretar las respuestas y detectar evasivas
La calidad de las respuestas a un RFI para software GRC dice tanto como su contenido. Hay patrones que vale la pena identificar.
«Eso lo podemos configurar» sin especificar cómo, en cuánto tiempo y a qué costo es una no-respuesta. Todo se puede configurar si el proveedor tiene acceso al código fuente y tiempo ilimitado. Lo que importa es si el usuario puede configurarlo sin depender de desarrollo.
«Tenemos clientes en ese sector» sin ofrecer la posibilidad de hablar con ninguno indica que esos clientes no están disponibles para dar referencias. Eso puede tener varias explicaciones, y ninguna es favorable.
«Nuestro equipo revisará eso y te responde» para preguntas básicas de seguridad o portabilidad indica que la persona frente a ti no conoce el producto en profundidad, y que la organización no tiene esas respuestas documentadas.
Las respuestas que desvían hacia los atributos positivos del producto en lugar de responder lo que se preguntó indican que la pregunta tocó un punto débil. Un buen proveedor responde las preguntas difíciles de frente, incluso cuando la respuesta no es perfecta. Eso genera más confianza que una presentación impecable que evita los puntos de fricción.
La diferencia entre evaluar el producto y evaluar al proveedor
Un proceso de selección de software GRC que solo evalúa el producto tiene un ángulo ciego. El producto que ves en el demo puede ser muy diferente al producto que usas doce meses después de la implementación, si el soporte no fue el que prometieron, si las actualizaciones rompieron flujos configurados o si el equipo de implementación dejó cabos sueltos que aparecen en la primera auditoría regulatoria.
El RFI es la herramienta para evaluar al proveedor, no solo la plataforma. Lo que responde, cómo lo responde y con qué evidencia lo sustenta: eso es lo que estás comprando, además del software.
NovaSec tiene respuestas documentadas para cada una de estas 20 preguntas. Casos como Olimpia y Corredor Empresarial ilustran cómo el proceso de evaluación y la implementación se desarrollaron en organizaciones de distintos sectores. Si estás en proceso de evaluación, podemos compartirte el paquete de due diligence preparado para tu sector.
