stringtranslate.com

Gobernanza, gestión de riesgos y cumplimiento

Gobernanza, gestión de riesgos y cumplimiento ( GRC ) es el término que abarca el enfoque de una organización en estas tres prácticas: gobernanza , gestión de riesgos y cumplimiento . [1] [2] [3] [4]

La primera investigación académica sobre GRC se publicó en 2007 [5], donde se definió formalmente a GRC como "el conjunto integrado de capacidades que permiten a una organización alcanzar objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refería a actividades comunes para "mantener a la empresa en el buen camino" que se llevaban a cabo en departamentos como auditoría interna, cumplimiento, riesgo, legal, finanzas, TI, RR.HH., así como en las líneas de negocio, la suite ejecutiva y el propio directorio.

Descripción general

La gobernanza, la gestión de riesgos y el cumplimiento normativo son tres facetas relacionadas que tienen como objetivo garantizar que una organización alcance sus objetivos de manera confiable, aborde la incertidumbre y actúe con integridad. [6] La gobernanza es la combinación de procesos establecidos y ejecutados por los directores (o la junta directiva) que se reflejan en la estructura de la organización y en cómo se gestiona y conduce hacia el logro de objetivos. La gestión de riesgos consiste en predecir y gestionar los riesgos que podrían impedir que la organización logre sus objetivos de manera confiable en condiciones de incertidumbre. El cumplimiento normativo se refiere a adherirse a los límites obligatorios (leyes y regulaciones) y a los límites voluntarios (políticas, procedimientos, etc. de la empresa). [7] [8]

GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad en los ámbitos de gobernanza y cumplimiento normativo para operar de manera más eficiente, permitir un intercambio de información eficaz, informar de las actividades de manera más eficaz y evitar superposiciones innecesarias. Aunque se interpreta de forma diferente en distintas organizaciones, GRC suele abarcar actividades como la gobernanza corporativa , la gestión de riesgos empresariales (ERM) y el cumplimiento corporativo de las leyes y regulaciones aplicables.

Las organizaciones alcanzan un tamaño en el que se requiere un control coordinado de las actividades de GRC para operar de manera eficaz. Cada una de estas tres disciplinas crea información de valor para las otras dos, y las tres tienen un impacto en las mismas tecnologías, personas, procesos e información.

Cuando la gobernanza, la gestión de riesgos y el cumplimiento normativo se gestionan de forma independiente, se produce una duplicación sustancial de tareas. Las actividades de GRC superpuestas y duplicadas afectan negativamente tanto a los costes operativos como a las matrices de GRC. Por ejemplo, cada servicio interno puede ser auditado y evaluado por varios grupos anualmente, lo que genera enormes costes y resultados desconectados. Un enfoque de GRC desconectado también impedirá que una organización proporcione informes ejecutivos de GRC en tiempo real. El GRC supone que este enfoque, al igual que un sistema de transporte mal planificado, cada ruta individual funcionará, pero la red carecerá de las cualidades que les permitan trabajar juntas de forma eficaz. [9]

Si no se integran, si se abordan con un enfoque tradicional de "silos", la mayoría de las organizaciones deben soportar cantidades inmanejables de requisitos relacionados con GRC debido a los cambios en la tecnología, el aumento del almacenamiento de datos, la globalización del mercado y una mayor regulación.

Temas de GRC

Conceptos básicos

Segmentación del mercado de GRC

Se puede implementar un programa de GRC que se centre en cualquier área individual dentro de la empresa, o bien un GRC totalmente integrado puede funcionar en todas las áreas de la empresa, utilizando un único marco.

Un sistema de gobernanza de la seguridad totalmente integrado utiliza un único conjunto de elementos de control, vinculados a todos los factores de gobernanza primarios que se supervisan. El uso de un único marco también tiene la ventaja de reducir la posibilidad de que se dupliquen las medidas correctivas.

Cuando se revisan como áreas de GRC individuales, se considera que los encabezados individuales más comunes son GRC financiero, GRC operativo, GRC WHS, GRC de TI y GRC legal .

Sin embargo, el AICD (Instituto Australiano de Directores de Empresas) divide el riesgo en tres supergrupos

Los analistas no están de acuerdo en cómo se definen estos aspectos de GRC como categorías de mercado. Gartner ha afirmado que el mercado de GRC en general incluye las siguientes áreas:

Además, dividen el mercado de gestión de GRC de TI en estas capacidades clave.

Proveedores de productos GRC

Las distinciones entre los subsegmentos del amplio mercado de GRC a menudo no son claras. Con una gran cantidad de proveedores que ingresaron recientemente a este mercado, determinar el mejor producto para un problema comercial determinado puede resultar un desafío. Dado que los analistas no están completamente de acuerdo sobre la segmentación del mercado, el posicionamiento de los proveedores puede aumentar la confusión.

Debido a la naturaleza dinámica de este mercado, cualquier análisis de proveedores suele quedar desactualizado relativamente pronto después de su publicación.

En términos generales, se puede considerar que el mercado de proveedores existe en tres segmentos:

Las soluciones integradas de GRC intentan unificar la gestión de estas áreas, en lugar de tratarlas como entidades separadas. Una solución integrada puede administrar una biblioteca central de controles de cumplimiento, pero gestionarlos, monitorearlos y presentarlos en relación con cada factor de gobernanza. Por ejemplo, en un enfoque específico de dominio, se podrían generar tres o más hallazgos en relación con una única actividad fallida. La solución integrada reconoce esto como una falla relacionada con los factores de gobernanza mapeados.

Los proveedores de GRC específicos de un dominio entienden la conexión cíclica entre gobernanza, riesgo y cumplimiento dentro de un área particular de gobernanza. Por ejemplo, dentro del procesamiento financiero, un riesgo estará relacionado con la ausencia de un control (necesidad de actualizar la gobernanza) y/o la falta de adherencia a (o mala calidad de) un control existente. Un objetivo inicial de dividir GRC en un mercado separado ha dejado a algunos proveedores confundidos sobre la falta de movimiento. Se cree que la falta de educación profunda dentro de un dominio en el lado de la auditoría, junto con una desconfianza en la auditoría en general, causa una grieta en un entorno corporativo. Sin embargo, hay proveedores en el mercado que, si bien siguen siendo específicos del dominio, han comenzado a comercializar su producto a usuarios finales y departamentos que, si bien son tangenciales o superpuestos, se han expandido para incluir la auditoría interna corporativa interna (CIA) y los equipos de auditoría externa (los cuatro grandes de nivel 1 Y los de nivel 2 y inferiores), la seguridad de la información y las operaciones/producción como público objetivo. Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción es auditado por la CIA mediante una aplicación a la que también tiene acceso el equipo de producción, se cree que el riesgo se reducirá más rápidamente, ya que el objetivo final no es "cumplir con las normas", sino ser "seguro" o lo más seguro posible. También puede probar las distintas herramientas de GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.

Las soluciones puntuales para la gestión de la gobernanza de la seguridad se caracterizan por centrarse en abordar sólo una de sus áreas. En algunos casos de requisitos limitados, estas soluciones pueden cumplir una finalidad viable. Sin embargo, dado que tienden a haber sido diseñadas para resolver problemas específicos de dominio en gran profundidad, generalmente no adoptan un enfoque unificado y no son tolerantes con los requisitos de gobernanza integrada. Los sistemas de información abordarán mejor estas cuestiones si los requisitos para la gestión de la gobernanza de la seguridad se incorporan en la etapa de diseño, como parte de un marco coherente. [11]

Almacenamiento de datos e inteligencia empresarial de GRC

Los proveedores de GRC con un marco de datos integrado ahora pueden ofrecer soluciones de inteligencia empresarial y almacenamiento de datos de GRC personalizadas. Esto permite recopilar y analizar datos de alto valor de cualquier cantidad de aplicaciones de GRC existentes.

La agregación de datos de GRC mediante este enfoque agrega un beneficio significativo en la identificación temprana de riesgos y la mejora de los procesos de negocio (y el control de negocio).

Otros beneficios de este enfoque incluyen (i) permite que las aplicaciones existentes, especializadas y de alto valor continúen sin impacto (ii) las organizaciones pueden gestionar una transición más fácil hacia un enfoque GRC integrado porque el cambio inicial solo se suma a la capa de informes y (iii) proporciona una capacidad en tiempo real para comparar y contrastar el valor de los datos entre sistemas que anteriormente no tenían un esquema de datos común.

Investigación del GRC

Cada una de las disciplinas centrales –Gobernanza, Gestión de Riesgos y Cumplimiento– consta de cuatro componentes básicos : estrategia, procesos, tecnología y personas. El apetito de riesgo de la organización , sus políticas internas y regulaciones externas constituyen las reglas de GRC. Las disciplinas, sus componentes y reglas ahora deben fusionarse de una manera integrada, holística y para toda la organización (las tres características principales de GRC), alineadas con las operaciones (comerciales) que se gestionan y respaldan a través de GRC. Al aplicar este enfoque, las organizaciones anhelan alcanzar los objetivos : comportamiento éticamente correcto y mejora de la eficiencia y la eficacia de cualquiera de los elementos involucrados. [12]

Véase también

Referencias

  1. ^ Anthony Tarantino (25 de febrero de 2008), Manual de gobernanza, riesgo y cumplimiento, ISBN 978-0-470-09589-8
  2. ^ Denise Vu Broady; Holly A. Roland (25 de abril de 2008), "El ABC de GRC", SAP GRC para principiantes , ISBN 978-0-470-33317-4
  3. ^ Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T. (2012), "Aiding Compliance Governance in Service-Based Business Processes", Manual de investigación sobre sistemas orientados a servicios y propiedades no funcionales (PDF) , IGI Global, págs. 524–548, doi :10.4018/978-1-61350-432-1.ch022, ISBN 9781613504321, consultado el 6 de abril de 2013{{citation}}: CS1 maint: multiple names: authors list (link)
  4. ^ Scott L. Mitchell (1 de octubre de 2007), "GRC360: Un marco para ayudar a las organizaciones a impulsar un desempeño basado en principios", International Journal of Disclosure and Governance , 4 (4): 279–296, doi :10.1057/palgrave.jdg.2050066, ISSN  1741-3591, S2CID  154869217
  5. ^ Scott L. Mitchell (1 de octubre de 2007), "GRC360: Un marco para ayudar a las organizaciones a impulsar un desempeño basado en principios", International Journal of Disclosure and Governance , 4 (4): 279–296, doi :10.1057/palgrave.jdg.2050066, ISSN  1741-3591, S2CID  154869217
  6. ^ OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
  7. ^ Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle (2013), "Auditoría interna: servicios de garantía y asesoramiento"
  8. ^ OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
  9. ^ Terminus Systems (2018), "GRC" no listado, Terminus Systems (2018-01-01), GRC {Código abierto gratuito}
  10. ^ Lamm, Blount, etc. (28 de diciembre de 2009), Bajo control: gobernanza en toda la empresa , ISBN 978-1430215929{{citation}}: CS1 maint: multiple names: authors list (link)
  11. ^ Bonazzi, R., Hussami, L. y Pigneur, Y. (2009), "La gestión del cumplimiento se está convirtiendo en un problema importante en el diseño de SI" (PDF) , en D'atri, Alessandro; Saccà, Domenico (eds.), Sistemas de información: personas, organizaciones, instituciones y tecnologías , Springer, págs. 391–398, doi :10.1007/978-3-7908-2148-2, ISBN 978-3-7908-2147-5, archivado desde el original (PDF) el 12 de marzo de 2012 , consultado el 6 de abril de 2013{{citation}}: CS1 maint: multiple names: authors list (link)
  12. ^ Racz, N., Weippl, E. y Seufert, A. (2010), Bart De Decker; Ingrid Schaumüller-Bichl (eds.), Un marco de referencia para la investigación de GRC integrado , vol. Comunicaciones y seguridad multimedia, 11.ª conferencia internacional IFIP TC 6/TC 11, Actas de CMS 2010, Berlín: Springer, págs. 106-117, ISBN 978-3-642-13240-7{{citation}}: CS1 maint: multiple names: authors list (link)