Gobernanza, gestión de riesgos y cumplimiento

Concepto organizacional

Gobernanza, gestión de riesgos y cumplimiento ( GRC ) es el término que abarca el enfoque de una organización en estas tres prácticas: gobernanza , gestión de riesgos y cumplimiento . ^{[1] [2] [3] [4]}

La primera investigación académica sobre GRC se publicó en 2007 ^[5], donde se definió formalmente a GRC como "el conjunto integrado de capacidades que permiten a una organización alcanzar objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refería a actividades comunes para "mantener a la empresa en el buen camino" que se llevaban a cabo en departamentos como auditoría interna, cumplimiento, riesgo, legal, finanzas, TI, RR.HH., así como en las líneas de negocio, la suite ejecutiva y el propio directorio.

Descripción general

La gobernanza, la gestión de riesgos y el cumplimiento normativo son tres facetas relacionadas que tienen como objetivo garantizar que una organización alcance sus objetivos de manera confiable, aborde la incertidumbre y actúe con integridad. ^[6] La gobernanza es la combinación de procesos establecidos y ejecutados por los directores (o la junta directiva) que se reflejan en la estructura de la organización y en cómo se gestiona y conduce hacia el logro de objetivos. La gestión de riesgos consiste en predecir y gestionar los riesgos que podrían impedir que la organización logre sus objetivos de manera confiable en condiciones de incertidumbre. El cumplimiento normativo se refiere a adherirse a los límites obligatorios (leyes y regulaciones) y a los límites voluntarios (políticas, procedimientos, etc. de la empresa). ^{[7] [8]}

GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad en los ámbitos de gobernanza y cumplimiento normativo para operar de manera más eficiente, permitir un intercambio de información eficaz, informar de las actividades de manera más eficaz y evitar superposiciones innecesarias. Aunque se interpreta de forma diferente en distintas organizaciones, GRC suele abarcar actividades como la gobernanza corporativa , la gestión de riesgos empresariales (ERM) y el cumplimiento corporativo de las leyes y regulaciones aplicables.

Las organizaciones alcanzan un tamaño en el que se requiere un control coordinado de las actividades de GRC para operar de manera eficaz. Cada una de estas tres disciplinas crea información de valor para las otras dos, y las tres tienen un impacto en las mismas tecnologías, personas, procesos e información.

Cuando la gobernanza, la gestión de riesgos y el cumplimiento normativo se gestionan de forma independiente, se produce una duplicación sustancial de tareas. Las actividades de GRC superpuestas y duplicadas afectan negativamente tanto a los costes operativos como a las matrices de GRC. Por ejemplo, cada servicio interno puede ser auditado y evaluado por varios grupos anualmente, lo que genera enormes costes y resultados desconectados. Un enfoque de GRC desconectado también impedirá que una organización proporcione informes ejecutivos de GRC en tiempo real. El GRC supone que este enfoque, al igual que un sistema de transporte mal planificado, cada ruta individual funcionará, pero la red carecerá de las cualidades que les permitan trabajar juntas de forma eficaz. ^[9]

Si no se integran, si se abordan con un enfoque tradicional de "silos", la mayoría de las organizaciones deben soportar cantidades inmanejables de requisitos relacionados con GRC debido a los cambios en la tecnología, el aumento del almacenamiento de datos, la globalización del mercado y una mayor regulación.

Temas de GRC

Conceptos básicos

• La gobernanza describe el enfoque de gestión general mediante el cual los altos ejecutivos dirigen y controlan toda la organización, utilizando una combinación de información de gestión y estructuras de control de gestión jerárquicas. Las actividades de gobernanza garantizan que la información crítica de gestión que llega al equipo ejecutivo sea lo suficientemente completa, precisa y oportuna para permitir la toma de decisiones de gestión adecuadas, y proporcionan los mecanismos de control para garantizar que las estrategias, las direcciones y las instrucciones de la dirección se lleven a cabo de manera sistemática y eficaz. ^[10]
• La gestión de riesgos es el conjunto de procesos mediante los cuales la dirección identifica, analiza y, cuando es necesario, responde adecuadamente a los riesgos que podrían afectar negativamente a la consecución de los objetivos de negocio de la organización. La respuesta a los riesgos depende normalmente de su gravedad percibida e implica controlarlos, evitarlos, aceptarlos o transferirlos a un tercero, mientras que las organizaciones gestionan habitualmente una amplia gama de riesgos (por ejemplo, riesgos tecnológicos, riesgos comerciales/financieros , riesgos de seguridad de la información , etc.).
• Cumplimiento significa cumplir con los requisitos establecidos. A nivel organizacional, se logra a través de procesos de gestión que identifican los requisitos aplicables (definidos, por ejemplo, en leyes, reglamentos, contratos, estrategias y políticas), evalúan el estado de cumplimiento, evalúan los riesgos y los costos potenciales del incumplimiento frente a los gastos proyectados para lograr el cumplimiento y, por lo tanto, priorizan, financian e inician las acciones correctivas que se consideren necesarias. La administración del cumplimiento se refiere al ejercicio administrativo de mantener todos los documentos de cumplimiento actualizados, mantener la vigencia de los controles de riesgo y producir los informes de cumplimiento. La conciencia de obligación se refiere a la capacidad de la organización para hacerse consciente de todas sus obligaciones obligatorias y voluntarias, a saber, leyes relevantes, requisitos regulatorios, códigos de la industria y estándares organizacionales, así como estándares de buen gobierno, mejores prácticas generalmente aceptadas, ética y expectativas de la comunidad. Estas obligaciones pueden ser financieras, estratégicas u operativas, donde las operativas incluyen áreas tan diversas como seguridad de la propiedad, seguridad del producto, seguridad alimentaria, salud y seguridad en el lugar de trabajo, mantenimiento de activos, etc.

Segmentación del mercado de GRC

Se puede implementar un programa de GRC que se centre en cualquier área individual dentro de la empresa, o bien un GRC totalmente integrado puede funcionar en todas las áreas de la empresa, utilizando un único marco.

Un sistema de gobernanza de la seguridad totalmente integrado utiliza un único conjunto de elementos de control, vinculados a todos los factores de gobernanza primarios que se supervisan. El uso de un único marco también tiene la ventaja de reducir la posibilidad de que se dupliquen las medidas correctivas.

Cuando se revisan como áreas de GRC individuales, se considera que los encabezados individuales más comunes son GRC financiero, GRC operativo, GRC WHS, GRC de TI y GRC legal .

• El GRC Financiero se relaciona con las actividades que tienen como objetivo garantizar el correcto funcionamiento de todos los procesos financieros, así como el cumplimiento de cualquier mandato relacionado con las finanzas.
• El GRC operativo se relaciona con todas las actividades operativas como seguridad de la propiedad, seguridad del producto, seguridad alimentaria, salud y seguridad en el trabajo, mantenimiento de activos de cumplimiento de TI, etc.
• WHS GRC, un subconjunto de GRC operativo, se relaciona con todas las actividades de salud y seguridad en el lugar de trabajo.
• GRC de TI, un subconjunto de GRC operacional, se relaciona con las actividades destinadas a garantizar que la organización de TI ( tecnología de la información ) respalde las necesidades actuales y futuras del negocio y cumpla con todos los mandatos relacionados con TI.
• El GRC legal se centra en unir los tres componentes a través del departamento legal y el director de cumplimiento de una organización . Sin embargo, esto puede ser engañoso, ya que la norma ISO 37301 se refiere a obligaciones obligatorias y voluntarias, y centrarse en el GRC legal puede introducir sesgos.

Sin embargo, el AICD (Instituto Australiano de Directores de Empresas) divide el riesgo en tres supergrupos

• Riesgo financiero
• Riesgo operacional
• Riesgo estratégico

Los analistas no están de acuerdo en cómo se definen estos aspectos de GRC como categorías de mercado. Gartner ha afirmado que el mercado de GRC en general incluye las siguientes áreas:

• Finanzas y auditoría GRC
• Gestión de GRC de TI
• Gestión de riesgos empresariales.

Además, dividen el mercado de gestión de GRC de TI en estas capacidades clave.

• Biblioteca de controles y políticas
• Distribución y respuesta de políticas
• Autoevaluación y medición de controles de TI
• Repositorio de activos de TI
• Recopilación automatizada de control general por computadora (GCC)
• Remediación y gestión de excepciones
• Informes
• Paneles de evaluación de riesgos de TI y cumplimiento normativo avanzados

Proveedores de productos GRC

Las distinciones entre los subsegmentos del amplio mercado de GRC a menudo no son claras. Con una gran cantidad de proveedores que ingresaron recientemente a este mercado, determinar el mejor producto para un problema comercial determinado puede resultar un desafío. Dado que los analistas no están completamente de acuerdo sobre la segmentación del mercado, el posicionamiento de los proveedores puede aumentar la confusión.

Debido a la naturaleza dinámica de este mercado, cualquier análisis de proveedores suele quedar desactualizado relativamente pronto después de su publicación.

En términos generales, se puede considerar que el mercado de proveedores existe en tres segmentos:

• Soluciones GRC integradas (intereses de gobernanza múltiple, a nivel de empresa)
• Soluciones GRC específicas de cada dominio (interés de gobernanza único, para toda la empresa)
• Soluciones puntuales para GRC (relacionadas con la gobernanza a nivel de la empresa, el riesgo a nivel de la empresa o el cumplimiento a nivel de la empresa, pero no en combinación).

Las soluciones integradas de GRC intentan unificar la gestión de estas áreas, en lugar de tratarlas como entidades separadas. Una solución integrada puede administrar una biblioteca central de controles de cumplimiento, pero gestionarlos, monitorearlos y presentarlos en relación con cada factor de gobernanza. Por ejemplo, en un enfoque específico de dominio, se podrían generar tres o más hallazgos en relación con una sola actividad fallida. La solución integrada reconoce esto como una falla relacionada con los factores de gobernanza mapeados.

Los proveedores de GRC específicos de un dominio entienden la conexión cíclica entre gobernanza, riesgo y cumplimiento dentro de un área particular de gobernanza. Por ejemplo, dentro del procesamiento financiero, un riesgo estará relacionado con la ausencia de un control (necesidad de actualizar la gobernanza) y/o la falta de adherencia a (o mala calidad de) un control existente. Un objetivo inicial de dividir GRC en un mercado separado ha dejado a algunos proveedores confundidos sobre la falta de movimiento. Se cree que la falta de educación profunda dentro de un dominio en el lado de la auditoría, junto con una desconfianza en la auditoría en general, causa una grieta en un entorno corporativo. Sin embargo, hay proveedores en el mercado que, si bien siguen siendo específicos del dominio, han comenzado a comercializar su producto a usuarios finales y departamentos que, si bien son tangenciales o superpuestos, se han expandido para incluir la auditoría interna corporativa interna (CIA) y los equipos de auditoría externa (los cuatro grandes de nivel 1 Y los de nivel 2 y inferiores), la seguridad de la información y las operaciones/producción como público objetivo. Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción es auditado por la CIA mediante una aplicación a la que también tiene acceso el equipo de producción, se cree que el riesgo se reducirá más rápidamente, ya que el objetivo final no es "cumplir con las normas", sino ser "seguro" o lo más seguro posible. También puede probar las distintas herramientas de GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.

Las soluciones puntuales para la gestión de la gobernanza de la seguridad se caracterizan por centrarse en abordar sólo una de sus áreas. En algunos casos de requisitos limitados, estas soluciones pueden cumplir una finalidad viable. Sin embargo, dado que tienden a haber sido diseñadas para resolver problemas específicos de dominio en gran profundidad, generalmente no adoptan un enfoque unificado y no son tolerantes con los requisitos de gobernanza integrada. Los sistemas de información abordarán mejor estas cuestiones si los requisitos para la gestión de la gobernanza de la seguridad se incorporan en la etapa de diseño, como parte de un marco coherente. ^[11]

Almacenamiento de datos e inteligencia empresarial de GRC

Los proveedores de GRC con un marco de datos integrado ahora pueden ofrecer soluciones de inteligencia empresarial y almacenamiento de datos de GRC personalizadas. Esto permite recopilar y analizar datos de alto valor de cualquier cantidad de aplicaciones de GRC existentes.

La agregación de datos de GRC mediante este enfoque agrega un beneficio significativo en la identificación temprana de riesgos y la mejora de los procesos de negocio (y el control de negocio).

Otros beneficios de este enfoque incluyen (i) permite que las aplicaciones existentes, especializadas y de alto valor continúen sin impacto (ii) las organizaciones pueden gestionar una transición más fácil hacia un enfoque GRC integrado porque el cambio inicial solo se suma a la capa de informes y (iii) proporciona una capacidad en tiempo real para comparar y contrastar el valor de los datos entre sistemas que anteriormente no tenían un esquema de datos común.

Investigación del GRC

Cada una de las disciplinas centrales –Gobernanza, Gestión de Riesgos y Cumplimiento– consta de cuatro componentes básicos : estrategia, procesos, tecnología y personas. El apetito de riesgo de la organización , sus políticas internas y regulaciones externas constituyen las reglas de GRC. Las disciplinas, sus componentes y reglas ahora deben fusionarse de una manera integrada, holística y para toda la organización (las tres características principales de GRC), alineadas con las operaciones (comerciales) que se gestionan y respaldan a través de GRC. Al aplicar este enfoque, las organizaciones anhelan alcanzar los objetivos : comportamiento éticamente correcto y mejora de la eficiencia y la eficacia de cualquiera de los elementos involucrados. ^[12]

Véase también

• Evaluación de conformidad
• Gobernanza de la información
• Sistemas de gestión de cumplimiento ISO 37301:2021 (anteriormente ISO 19600 )
• ISO 31000:2018 Gestión de riesgos
• ISO 41001:2018 Gestión de instalaciones — Sistemas de gestión
• Gobernanza legal, gestión de riesgos y cumplimiento
• Gestión de registros
• Cumplimiento normativo

Referencias

1. Anthony Tarantino (25 de febrero de 2008), Manual de gobernanza, riesgo y cumplimiento, ISBN 978-0-470-09589-8
2. Denise Vu Broady; Holly A. Roland (25 de abril de 2008), "El ABC de GRC", SAP GRC para principiantes , ISBN 978-0-470-33317-4
3. Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T. (2012), "Aiding Compliance Governance in Service-Based Business Processes", Manual de investigación sobre sistemas orientados a servicios y propiedades no funcionales (PDF) , IGI Global, págs. 524–548, doi :10.4018/978-1-61350-432-1.ch022, ISBN 9781613504321, consultado el 6 de abril de 2013{{citation}}: CS1 maint: multiple names: authors list (link)
4. Scott L. Mitchell (1 de octubre de 2007), "GRC360: Un marco para ayudar a las organizaciones a impulsar un desempeño basado en principios", International Journal of Disclosure and Governance , 4 (4): 279–296, doi :10.1057/palgrave.jdg.2050066, ISSN  1741-3591, S2CID  154869217
5. Scott L. Mitchell (1 de octubre de 2007), "GRC360: Un marco para ayudar a las organizaciones a impulsar un desempeño basado en principios", International Journal of Disclosure and Governance , 4 (4): 279–296, doi :10.1057/palgrave.jdg.2050066, ISSN  1741-3591, S2CID  154869217
6. OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
7. Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle (2013), "Auditoría interna: servicios de garantía y asesoramiento"
8. OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
9. Terminus Systems (2018), "GRC" no listado, Terminus Systems (2018-01-01), GRC {Código abierto gratuito}
10. Lamm, Blount, etc. (28 de diciembre de 2009), Bajo control: gobernanza en toda la empresa , ISBN 978-1430215929{{citation}}: CS1 maint: multiple names: authors list (link)
11. Bonazzi, R., Hussami, L. y Pigneur, Y. (2009), "La gestión del cumplimiento se está convirtiendo en un problema importante en el diseño de SI" (PDF) , en D'atri, Alessandro; Saccà, Domenico (eds.), Sistemas de información: personas, organizaciones, instituciones y tecnologías , Springer, págs. 391–398, doi :10.1007/978-3-7908-2148-2, ISBN 978-3-7908-2147-5, archivado desde el original (PDF) el 12 de marzo de 2012 , consultado el 6 de abril de 2013{{citation}}: CS1 maint: multiple names: authors list (link)
12. Racz, N., Weippl, E. y Seufert, A. (2010), Bart De Decker; Ingrid Schaumüller-Bichl (eds.), Un marco de referencia para la investigación de GRC integrado , vol. Comunicaciones y seguridad multimedia, 11.ª conferencia internacional IFIP TC 6/TC 11, Actas de CMS 2010, Berlín: Springer, págs. 106-117, ISBN 978-3-642-13240-7{{citation}}: CS1 maint: multiple names: authors list (link)