Gobernanza, gestión de riesgos y cumplimiento

Concepto organizacional

Gobernanza, gestión de riesgos y cumplimiento ( GRC ) es el término que cubre el enfoque de una organización a través de estas tres prácticas: gobernanza , gestión de riesgos y cumplimiento . ^{[1] [2] [3] [4]}

La primera investigación académica sobre GRC se publicó en 2007 ^[5], donde se definió formalmente como "el conjunto integrado de capacidades que permiten a una organización alcanzar objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refirió a actividades comunes para "mantener la empresa encaminada" realizadas en departamentos como auditoría interna, cumplimiento, riesgos, legal, finanzas, TI, recursos humanos, así como las líneas de negocio, el equipo ejecutivo y la propia junta directiva.

Descripción general

La gobernanza, la gestión de riesgos y el cumplimiento son tres facetas relacionadas que tienen como objetivo garantizar que una organización logre sus objetivos de manera confiable, aborde la incertidumbre y actúe con integridad. ^[6] La gobernanza es la combinación de procesos establecidos y ejecutados por los directores (o la junta directiva) que se reflejan en la estructura de la organización y en cómo se gestiona y conduce hacia el logro de los objetivos. La gestión de riesgos consiste en predecir y gestionar los riesgos que podrían impedir que la organización alcance de forma fiable sus objetivos en condiciones de incertidumbre. El cumplimiento se refiere al cumplimiento de los límites obligatorios (leyes y regulaciones) y los límites voluntarios (políticas, procedimientos, etc. de la empresa). ^{[7] [8]}

GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad a través de la gobernanza y el cumplimiento para operar de manera más eficiente, permitir el intercambio efectivo de información, informar actividades de manera más efectiva y evitar superposiciones inútiles. Aunque se interpreta de manera diferente en varias organizaciones, GRC generalmente abarca actividades como gobierno corporativo , gestión de riesgos empresariales (ERM) y cumplimiento corporativo de las leyes y regulaciones aplicables.

Las organizaciones alcanzan un tamaño en el que se requiere un control coordinado sobre las actividades de GRC para operar de manera efectiva. Cada una de estas tres disciplinas crea información de valor para las otras dos, y las tres impactan las mismas tecnologías, personas, procesos e información.

Cuando la gobernanza, la gestión de riesgos y el cumplimiento se gestionan de forma independiente, se produce una duplicación sustancial de tareas. Las actividades de GRC superpuestas y duplicadas impactan negativamente tanto en los costos operativos como en las matrices de GRC. Por ejemplo, cada servicio interno podría ser auditado y evaluado por varios grupos anualmente, lo que generaría costos enormes y resultados desconectados. Un enfoque de GRC desconectado también impedirá que una organización proporcione informes ejecutivos de GRC en tiempo real. GRC supone que con este enfoque, como en un sistema de transporte mal planificado, cada ruta individual funcionará, pero la red carecerá de las cualidades que les permitan trabajar juntas de manera efectiva. ^[9]

Si no se integran, si se abordan en un enfoque tradicional de "silo", la mayoría de las organizaciones deben soportar cantidades inmanejables de requisitos relacionados con GRC debido a los cambios en la tecnología, el aumento del almacenamiento de datos, la globalización del mercado y una mayor regulación.

Temas de GRC

Conceptos básicos

• La gobernanza describe el enfoque de gestión general a través del cual los altos ejecutivos dirigen y controlan toda la organización, utilizando una combinación de información de gestión y estructuras jerárquicas de control de gestión. Las actividades de gobierno aseguran que la información gerencial crítica que llega al equipo ejecutivo sea lo suficientemente completa, precisa y oportuna para permitir una toma de decisiones gerencial adecuada, y proporcionan los mecanismos de control para asegurar que las estrategias, direcciones e instrucciones de la gerencia se lleven a cabo de manera sistemática y efectiva. ^[10]
• La gestión de riesgos es el conjunto de procesos a través de los cuales la dirección identifica, analiza y, cuando sea necesario, responde adecuadamente a los riesgos que podrían afectar negativamente la realización de los objetivos comerciales de la organización. La respuesta a los riesgos normalmente depende de su gravedad percibida e implica controlarlos, evitarlos, aceptarlos o transferirlos a un tercero, mientras que las organizaciones gestionan habitualmente una amplia gama de riesgos (por ejemplo, riesgos tecnológicos, riesgos comerciales/financieros , riesgos de seguridad de la información , etc.). ).
• Cumplimiento significa conformarse a los requisitos establecidos. A nivel organizacional, se logra a través de procesos de gestión que identifican los requisitos aplicables (definidos, por ejemplo, en leyes, regulaciones, contratos, estrategias y políticas), evalúan el estado de cumplimiento, evalúan los riesgos y costos potenciales del incumplimiento frente a los gastos proyectados para lograr el cumplimiento y, por lo tanto, priorizar, financiar e iniciar las acciones correctivas que se consideren necesarias. La administración de cumplimiento se refiere al ejercicio administrativo de mantener actualizados todos los documentos de cumplimiento, mantener la vigencia de los controles de riesgo y producir los informes de cumplimiento. La conciencia obligatoria se refiere a la capacidad de la organización para tomar conciencia de todas sus obligaciones obligatorias y voluntarias, es decir, leyes pertinentes, requisitos reglamentarios, códigos industriales y estándares organizacionales, así como estándares de buen gobierno, mejores prácticas generalmente aceptadas, ética y expectativas de la comunidad. Estas obligaciones pueden ser financieras, estratégicas u operativas cuando las operativas incluyan áreas tan diversas como seguridad de la propiedad, seguridad de los productos, seguridad de los alimentos, salud y seguridad en el lugar de trabajo, mantenimiento de activos, etc.

Segmentación del mercado de GRC

Se puede instituir un programa GRC para centrarse en cualquier área individual dentro de la empresa, o un GRC totalmente integrado puede trabajar en todas las áreas de la empresa, utilizando un marco único.

Un GRC totalmente integrado utiliza un único conjunto central de material de control, asignado a todos los factores de gobernanza primarios que se monitorean. El uso de un marco único también tiene la ventaja de reducir la posibilidad de acciones correctivas duplicadas.

Cuando se revisan como áreas individuales de GRC, se considera que los encabezados individuales más comunes son GRC financiero, GRC operativo, GRC WHS, GRC de TI y GRC legal .

• El GRC financiero se relaciona con las actividades que tienen como objetivo garantizar el correcto funcionamiento de todos los procesos financieros, así como el cumplimiento de cualquier mandato relacionado con las finanzas.
• El GRC operativo se relaciona con todas las actividades operativas, como la seguridad de la propiedad, la seguridad de los productos, la seguridad de los alimentos, la salud y seguridad en el lugar de trabajo, el mantenimiento de activos de cumplimiento de TI, etc.
• WHS GRC, un subconjunto de GRC operativo, se relaciona con todas las actividades de seguridad y salud en el lugar de trabajo.
• IT GRC, un subconjunto de Operational GRC, se relaciona con las actividades destinadas a garantizar que la organización de TI ( tecnología de la información ) respalde las necesidades actuales y futuras del negocio y cumpla con todos los mandatos relacionados con TI.
• Legal GRC se enfoca en unir los tres componentes a través del departamento legal y el director de cumplimiento de una organización . Sin embargo, esto puede ser engañoso ya que ISO 37301 se refiere a obligaciones obligatorias y voluntarias y centrarse en el GRC legal puede introducir sesgos.

Sin embargo, el AICD (Instituto Australiano de Directores de Empresas) divide el riesgo en tres supergrupos

• Riesgo financiero
• Riesgo operacional
• Riesgo Estratégico

Los analistas no están de acuerdo sobre cómo se definen estos aspectos de GRC como categorías de mercado. Gartner ha declarado que el amplio mercado de GRC incluye las siguientes áreas:

• Finanzas y auditoría GRC
• Gestión TI GRC
• Gestión de riesgos empresariales.

Además, dividen el mercado de gestión de TI GRC en estas capacidades clave.

• Biblioteca de controles y políticas
• Distribución de políticas y respuesta.
• Autoevaluación y medición de Controles TI
• Repositorio de activos de TI
• Recopilación automatizada de control informático general (GCC)
• Gestión de corrección y excepciones
• Informes
• Paneles avanzados de evaluación de riesgos de TI y cumplimiento

Proveedores de productos GRC

Las distinciones entre los subsegmentos del mercado general de GRC a menudo no son claras. Con una gran cantidad de proveedores ingresando recientemente a este mercado, determinar el mejor producto para un problema comercial determinado puede resultar un desafío. Dado que los analistas no están totalmente de acuerdo sobre la segmentación del mercado, el posicionamiento de los proveedores puede aumentar la confusión.

Debido a la naturaleza dinámica de este mercado, cualquier análisis de proveedores suele quedar obsoleto relativamente poco tiempo después de su publicación.

En términos generales, se puede considerar que el mercado de proveedores existe en tres segmentos:

• Soluciones GRC integradas (interés de gobernanza múltiple, en toda la empresa)
• Soluciones GRC específicas de dominio (interés de gobierno único, en toda la empresa)
• Soluciones puntuales para GRC (se relacionan con la gobernanza de toda la empresa o el riesgo de toda la empresa o el cumplimiento de toda la empresa, pero no en combinación).

Las soluciones integradas de GRC intentan unificar la gestión de estas áreas, en lugar de tratarlas como entidades separadas. Una solución integrada es capaz de administrar una biblioteca central de controles de cumplimiento, pero también gestionarlos, monitorearlos y presentarlos en función de todos los factores de gobernanza. Por ejemplo, en un enfoque de dominio específico, se podrían generar tres o más hallazgos en relación con una sola actividad interrumpida. La solución integrada reconoce esto como una ruptura relacionada con los factores de gobernanza mapeados.

Los proveedores de GRC de dominios específicos comprenden la conexión cíclica entre gobernanza, riesgo y cumplimiento dentro de un área particular de gobernanza. Por ejemplo, dentro del procesamiento financiero, que un riesgo estará relacionado con la ausencia de un control (necesidad de actualizar la gobernanza) y/o la falta de cumplimiento (o la mala calidad de) un control existente. El objetivo inicial de dividir GRC en un mercado separado ha dejado a algunos proveedores confundidos por la falta de movimiento. Se cree que la falta de educación profunda dentro de un dominio en el lado de la auditoría, junto con la desconfianza en la auditoría en general, causa una brecha en el entorno corporativo. Sin embargo, hay proveedores en el mercado que, si bien siguen siendo específicos de un dominio, han comenzado a comercializar su producto a los usuarios finales y departamentos que, si bien son tangenciales o se superponen, se han ampliado para incluir los equipos de auditoría interna corporativa (CIA) y de auditoría externa. (nivel 1, cuatro grandes Y nivel dos e inferiores), seguridad de la información y operaciones/producción como público objetivo. Este enfoque proporciona un enfoque más "de libro abierto" al proceso. Si la CIA audita al equipo de producción utilizando una aplicación a la que la producción también tiene acceso, se cree que se reducirá el riesgo más rápidamente, ya que el objetivo final no es ser "cumplido" sino "seguro", o lo más seguro posible. También puede probar las diversas herramientas GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.

Las soluciones puntuales para GRC se caracterizan por su enfoque en abordar sólo una de sus áreas. En algunos casos de requisitos limitados, estas soluciones pueden tener un propósito viable. Sin embargo, debido a que tienden a haber sido diseñados para resolver problemas de dominios específicos con gran profundidad, generalmente no adoptan un enfoque unificado y no son tolerantes con los requisitos de gobernanza integrada. Los sistemas de información abordarán mejor estas cuestiones si los requisitos para la gestión de GRC se incorporan en la etapa de diseño, como parte de un marco coherente. ^[11]

Almacenamiento de datos e inteligencia empresarial de GRC

Los proveedores de GRC con un marco de datos integrado ahora pueden ofrecer soluciones personalizadas de inteligencia empresarial y almacén de datos de GRC. Esto permite recopilar y analizar datos de alto valor de cualquier número de aplicaciones GRC existentes.

La agregación de datos de GRC utilizando este enfoque agrega un beneficio significativo en la identificación temprana de riesgos y la mejora de los procesos comerciales (y el control comercial).

Otros beneficios de este enfoque incluyen (i) permite que las aplicaciones existentes, especializadas y de alto valor continúen sin impacto (ii) las organizaciones pueden gestionar una transición más fácil hacia un enfoque GRC integrado porque el cambio inicial solo aumenta la capa de informes y (iii ) proporciona una capacidad en tiempo real para comparar y contrastar el valor de los datos entre sistemas que anteriormente no tenían un esquema de datos común.'

investigación de GRC

Cada una de las disciplinas centrales (gobernanza, gestión de riesgos y cumplimiento) consta de cuatro componentes básicos : estrategia, procesos, tecnología y personas. El apetito de riesgo de la organización , sus políticas internas y regulaciones externas constituyen las reglas de GRC. Las disciplinas, sus componentes y reglas ahora se fusionarán de manera integrada, holística y para toda la organización (las tres características principales de GRC), alineada con las operaciones (comerciales) que se gestionan y respaldan a través de GRC. Al aplicar este enfoque, las organizaciones anhelan alcanzar los objetivos : comportamiento éticamente correcto y mejora de la eficiencia y eficacia de cualquiera de los elementos implicados. ^[12]

Ver también

• Evaluación de la conformidad
• Gobernanza de la información
• Sistemas de gestión de cumplimiento ISO 37301:2021 (anteriormente ISO 19600 )
• ISO 31000:2018 Gestión de Riesgos
• ISO 41001:2018 Gestión de instalaciones. Sistemas de gestión.
• Gobernanza legal, gestión de riesgos y cumplimiento
• Gestión de registros
• Cumplimiento normativo

Referencias

1. Anthony Tarantino (25 de febrero de 2008), Manual de gobernanza, riesgo y cumplimiento, ISBN 978-0-470-09589-8
2. Denise Vu Broady; Holly A. Roland (25 de abril de 2008), "El ABC de GRC", SAP GRC para principiantes , ISBN 978-0-470-33317-4
3. Silveira, P., Rodríguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T. (2012), "Aiding Compliance Governance" in Service-Based Business Processes", Manual de investigación sobre sistemas orientados a servicios y propiedades no funcionales (PDF) , IGI Global, págs. 524–548, doi :10.4018/978-1-61350-432-1.ch022, ISBN 9781613504321, consultado el 6 de abril de 2013{{citation}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
4. Scott L. Mitchell (1 de octubre de 2007), "GRC360: un marco para ayudar a las organizaciones a impulsar el desempeño basado en principios", Revista Internacional de Divulgación y Gobernanza , 4 (4): 279–296, doi :10.1057/palgrave.jdg. 2050066, ISSN  1741-3591, S2CID  154869217
5. Scott L. Mitchell (1 de octubre de 2007), "GRC360: un marco para ayudar a las organizaciones a impulsar el desempeño basado en principios", Revista Internacional de Divulgación y Gobernanza , 4 (4): 279–296, doi :10.1057/palgrave.jdg. 2050066, ISSN  1741-3591, S2CID  154869217
6. OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
7. Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle (2013), "Auditoría interna: servicios de aseguramiento y asesoramiento"
8. OCEG (2004), "Modelo de capacidad GRC" Scott L. Mitchell, OCEG (1 de enero de 2004), Modelo de capacidad GRC (código abierto gratuito)
9. Terminus Systems (2018), "GRC" no listado, Terminus Systems (01/01/2018), GRC {Código abierto gratuito}
10. Lamm, Blount, etc. (28 de diciembre de 2009), Bajo control: gobernanza en toda la empresa , ISBN 978-1430215929{{citation}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
11. Bonazzi, R., Hussami, L. & Pigneur, Y. (2009), "La gestión del cumplimiento se está convirtiendo en un problema importante en el diseño de sistemas de información" (PDF) , en D'atri, Alessandro; Saccà, Domenico (eds.), Sistemas de información: personas, organizaciones, instituciones y tecnologías , Springer, págs. 391–398, doi :10.1007/978-3-7908-2148-2, ISBN 978-3-7908-2147-5, archivado desde el original (PDF) el 12 de marzo de 2012 , consultado el 6 de abril de 2013{{citation}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
12. Racz, N., Weippl, E. y Seufert, A. (2010), Bart De Decker; Ingrid Schaumüller-Bichl (eds.), Un marco de referencia para la investigación de GRC integrado , vol. Seguridad de comunicaciones y multimedia, 11ª Conferencia Internacional IFIP TC 6/TC 11, Actas de CMS 2010, Berlín: Springer, págs. 106–117, ISBN 978-3-642-13240-7{{citation}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )