Gobernanza, gestión de riesgos y cumplimiento: Governance, risk management, and compliance

Gobernanza, gestión de riesgos y cumplimiento ( GRC ) es el término que cubre el enfoque de una organización en estas tres prácticas: gobernanza , gestión de riesgos y cumplimiento . La primera investigación académica sobre GRC se publicó en 2007, donde GRC se definió formalmente como "la colección integrada de capacidades que permiten a una organización lograr objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refirió a las actividades comunes de "mantener a la empresa en el camino" que se llevan a cabo en departamentos como auditoría interna, cumplimiento, riesgos, legal, finanzas, TI, RR.HH., así como las líneas de negocio, la suite ejecutiva y el propio directorio.

Visión general

El gobierno, la gestión de riesgos y el cumplimiento son tres facetas relacionadas que tienen como objetivo asegurar que una organización logre los objetivos de manera confiable, aborde la incertidumbre y actúe con integridad. La gobernanza es la combinación de procesos establecidos y ejecutados por los directores (o la junta directiva) que se reflejan en la estructura de la organización y en cómo se gestiona y se dirige hacia el logro de las metas. La gestión de riesgos consiste en predecir y gestionar los riesgos que podrían impedir que la organización logre sus objetivos de forma fiable en condiciones de incertidumbre. El cumplimiento se refiere al cumplimiento de los límites obligatorios (leyes y reglamentos) y los límites voluntarios (políticas, procedimientos, etc. de la empresa).

GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad a través de la gobernanza y el cumplimiento para operar de manera más eficiente, permitir el intercambio efectivo de información, informar actividades de manera más efectiva y evitar superposiciones innecesarias. Aunque se interpreta de manera diferente en varias organizaciones, GRC generalmente abarca actividades como el gobierno corporativo , la gestión de riesgos empresariales (ERM) y el cumplimiento corporativo de las leyes y regulaciones aplicables.

Las organizaciones alcanzan un tamaño en el que se requiere un control coordinado sobre las actividades de GRC para operar de manera efectiva. Cada una de estas tres disciplinas crea información de valor para las otras dos, y las tres impactan en las mismas tecnologías, personas, procesos e información.

La duplicación sustancial de tareas evoluciona cuando la gobernanza, la gestión de riesgos y el cumplimiento se gestionan de forma independiente. Las actividades de GRC superpuestas y duplicadas tienen un impacto negativo tanto en los costos operativos como en las matrices de GRC. Por ejemplo, cada servicio interno puede ser auditado y evaluado por múltiples grupos anualmente, creando un costo enorme y resultados desconectados. Un enfoque de GRC desconectado también evitará que una organización proporcione informes ejecutivos de GRC en tiempo real. GRC supone que este enfoque, como un sistema de transporte mal planificado, operará cada ruta individual, pero la red carecerá de las cualidades que les permitan trabajar juntos de manera efectiva.

Si no se integra, si se aborda en un enfoque tradicional de "silo", la mayoría de las organizaciones deben mantener un número inmanejable de requisitos relacionados con GRC debido a los cambios en la tecnología, el aumento del almacenamiento de datos, la globalización del mercado y una mayor regulación.

Temas de GRC

Conceptos básicos

  • La gobernanza describe el enfoque de gestión general a través del cual los altos ejecutivos dirigen y controlan toda la organización, utilizando una combinación de información de gestión y estructuras de control de gestión jerárquicas. Las actividades de gobernanza garantizan que la información de gestión crítica que llega al equipo ejecutivo sea lo suficientemente completa, precisa y oportuna para permitir una toma de decisiones de gestión adecuada, y proporcionan los mecanismos de control para garantizar que las estrategias, direcciones e instrucciones de la dirección se lleven a cabo de forma sistemática y eficaz.
  • La conciencia de las obligaciones se refiere a la capacidad de la organización para darse cuenta de todas sus obligaciones obligatorias y voluntarias, a saber, las leyes pertinentes, los requisitos reglamentarios, los códigos de la industria y los estándares organizativos, así como los estándares de buen gobierno, las mejores prácticas generalmente aceptadas, la ética y la expectativas de la comunidad. Estas obligaciones pueden ser financieras, estratégicas u operativas donde operativa incluye áreas tan diversas como seguridad de la propiedad, seguridad de los productos, seguridad alimentaria, salud y seguridad en el lugar de trabajo, mantenimiento de activos, etc.
  • La gestión de riesgos es el conjunto de procesos mediante los cuales la dirección identifica, analiza y, cuando es necesario, responde de forma adecuada a los riesgos que podrían afectar negativamente la realización de los objetivos comerciales de la organización. La respuesta a los riesgos generalmente depende de su gravedad percibida e implica controlarlos, evitarlos, aceptarlos o transferirlos a un tercero, mientras que las organizaciones gestionan de forma rutinaria una amplia gama de riesgos (por ejemplo, riesgos tecnológicos, riesgos comerciales / financieros, riesgos de seguridad de la información, etc. ).
  • Cumplimiento significa cumplir con los requisitos establecidos. A nivel organizacional, se logra a través de procesos de gestión que identifican los requisitos aplicables (definidos por ejemplo en leyes, reglamentos, contratos, estrategias y políticas), evalúan el estado de cumplimiento, evalúan los riesgos y costos potenciales del incumplimiento frente a los gastos proyectados para lograr el cumplimiento y, por lo tanto, priorizar, financiar e iniciar las acciones correctivas que se consideren necesarias. La administración de cumplimiento se refiere al ejercicio administrativo de mantener actualizados todos los documentos de cumplimiento, mantener la vigencia de los controles de riesgo y producir los informes de cumplimiento.

Segmentación del mercado GRC

Se puede instituir un programa GRC para enfocarse en cualquier área individual dentro de la empresa, o un GRC completamente integrado puede trabajar en todas las áreas de la empresa, utilizando un solo marco.

Un GRC completamente integrado utiliza un conjunto básico único de material de control, asignado a todos los factores de gobernanza primarios que se monitorean. El uso de un marco único también tiene la ventaja de reducir la posibilidad de acciones correctivas duplicadas.

Cuando se revisan como áreas individuales de GRC, los encabezados individuales más comunes se consideran GRC financiero, GRC operativo, WHS GRC, IT GRC y Legal GRC.

  • El GRC financiero se refiere a las actividades que tienen como objetivo garantizar el correcto funcionamiento de todos los procesos financieros, así como el cumplimiento de los mandatos relacionados con las finanzas.
  • El GRC operativo se relaciona con todas las actividades operativas, como la seguridad de la propiedad, la seguridad de los productos, la seguridad alimentaria, la salud y seguridad en el lugar de trabajo, el mantenimiento de activos de cumplimiento de TI, etc.
  • WHS GRC, un subconjunto de Operational GRC, se relaciona con todas las actividades de salud y seguridad en el lugar de trabajo
  • IT GRC, un subconjunto de Operational GRC, se relaciona con las actividades destinadas a garantizar que la organización de TI ( tecnología de la información ) respalde las necesidades actuales y futuras del negocio y cumpla con todos los mandatos relacionados con TI.
  • Legal GRC se enfoca en unir los tres componentes a través del departamento legal y el director de cumplimiento de una organización . Sin embargo, esto puede ser engañoso ya que ISO 37301 se refiere a obligaciones obligatorias y voluntarias y un enfoque en GRC legal puede introducir sesgos.

La AICD (Instituto Australiano de Directores de Empresas), sin embargo se divide en tres grupos de riesgo súper

  • Riesgo financiero
  • Riesgo operacional
  • Riesgo estratégico

Los analistas no están de acuerdo sobre cómo estos aspectos de GRC se definen como categorías de mercado. Gartner ha declarado que el amplio mercado de GRC incluye las siguientes áreas:

  • Finanzas y auditoría GRC
  • Gestión de IT GRC
  • Gestión de riesgos empresariales.

Además, dividen el mercado de gestión de GRC de TI en estas capacidades clave.

  • Biblioteca de controles y políticas
  • Distribución y respuesta de políticas
  • Autoevaluación y medición de controles de TI
  • Repositorio de activos de TI
  • Recopilación automatizada de control general por computadora (GCC)
  • Gestión de reparaciones y excepciones
  • Reportando
  • Paneles de control de cumplimiento y evaluación de riesgos de TI avanzados

Proveedores de productos GRC

Las distinciones entre los subsegmentos del amplio mercado de GRC a menudo no son claras. Con una gran cantidad de proveedores que ingresaron a este mercado recientemente, determinar el mejor producto para un problema comercial dado puede ser un desafío. Dado que los analistas no están completamente de acuerdo con la segmentación del mercado, el posicionamiento de los proveedores puede aumentar la confusión.

Debido a la naturaleza dinámica de este mercado, cualquier análisis de proveedores suele estar desactualizado relativamente poco después de su publicación.

En términos generales, se puede considerar que el mercado de proveedores existe en tres segmentos:

  • Soluciones GRC integradas (interés de gobernanza múltiple, en toda la empresa)
  • Soluciones GRC específicas de dominio (interés único de gobernanza, toda la empresa)
  • Soluciones puntuales para GRC (se relacionan con la gobernanza en toda la empresa o el riesgo en toda la empresa o el cumplimiento en toda la empresa, pero no en combinación).

Las soluciones GRC integradas intentan unificar la gestión de estas áreas, en lugar de tratarlas como entidades separadas. Una solución integrada puede administrar una biblioteca central de controles de cumplimiento, pero administrarlos, monitorearlos y presentarlos frente a todos los factores de gobierno. Por ejemplo, en un enfoque de dominio específico, se podrían generar tres o más hallazgos contra una sola actividad interrumpida. La solución integrada reconoce esto como una ruptura relacionada con los factores de gobernanza mapeados.

Los proveedores de GRC de dominios específicos comprenden la conexión cíclica entre gobernanza, riesgo y cumplimiento dentro de un área particular de gobernanza. Por ejemplo, dentro del procesamiento financiero, que un riesgo se relacionará con la ausencia de un control (necesidad de actualizar la gobernanza) y / o la falta de cumplimiento (o mala calidad) de un control existente. El objetivo inicial de dividir GRC en un mercado separado ha dejado a algunos proveedores confundidos por la falta de movimiento. Se cree que la falta de educación profunda dentro de un dominio en el lado de la auditoría, junto con la desconfianza hacia la auditoría en general, provoca una ruptura en un entorno corporativo. Sin embargo, hay proveedores en el mercado que, aunque siguen siendo específicos del dominio, han comenzado a comercializar su producto a usuarios finales y departamentos que, aunque son tangenciales o superpuestos, se han expandido para incluir la auditoría interna corporativa interna (CIA) y los equipos de auditoría externa. (nivel 1, cuatro grandes y nivel dos e inferior), seguridad de la información y operaciones / producción como público objetivo. Este enfoque proporciona un enfoque más de "libro abierto" en el proceso. Si el equipo de producción será auditado por la CIA utilizando una aplicación a la que la producción también tiene acceso, se cree que reducirá el riesgo más rápidamente, ya que el objetivo final no es ser 'compatible', sino ser 'seguro' o lo más seguro posible. También puede probar las diversas herramientas GRC disponibles en el mercado que se basan en la automatización y pueden reducir su carga de trabajo.

Las soluciones puntuales para GRC están marcadas por su enfoque en abordar solo una de sus áreas. En algunos casos de requisitos limitados, estas soluciones pueden tener un propósito viable. Sin embargo, debido a que tienden a haber sido diseñados para resolver problemas específicos de dominio en gran profundidad, generalmente no adoptan un enfoque unificado y no son tolerantes con los requisitos de gobernanza integrada. Los sistemas de información abordarán mejor estos asuntos si los requisitos para la gestión de GRC se incorporan en la etapa de diseño, como parte de un marco coherente.

Almacenamiento de datos e inteligencia empresarial de GRC

Los proveedores de GRC con un marco de datos integrado ahora pueden ofrecer soluciones de inteligencia empresarial y almacén de datos de GRC personalizadas. Esto permite recopilar y analizar datos de alto valor de cualquier número de aplicaciones GRC existentes.

La agregación de datos de GRC utilizando este enfoque agrega un beneficio significativo en la identificación temprana del riesgo y la mejora del proceso comercial (y control comercial).

Otros beneficios de este enfoque incluyen (i) permite que las aplicaciones existentes, especializadas y de alto valor continúen sin impacto (ii) las organizaciones pueden gestionar una transición más fácil a un enfoque GRC integrado porque el cambio inicial solo se agrega a la capa de informes y (iii) ) proporciona una capacidad en tiempo real para comparar y contrastar el valor de los datos entre sistemas que anteriormente no tenían un esquema de datos común '.

Investigación GRC

Una revisión de la publicación realizada en 2009 encontró que casi no había investigación científica sobre GRC. Los autores derivaron la primera definición corta de GRC a partir de una extensa revisión de la literatura. Posteriormente, se validó la definición en una encuesta entre profesionales de GRC. "GRC es un enfoque integrado y holístico de GRC en toda la organización que garantiza que una organización actúa de manera éticamente correcta y de acuerdo con su apetito por el riesgo, las políticas internas y las regulaciones externas a través de la alineación de la estrategia, los procesos, la tecnología y las personas, mejorando así la eficiencia y la eficacia. . " Luego, los autores tradujeron la definición en un marco de referencia para la investigación de GRC.

Cada una de las disciplinas centrales (gobierno, gestión de riesgos y cumplimiento) consta de cuatro componentes básicos : estrategia, procesos, tecnología y personas. El apetito de riesgo de la organización , sus políticas internas y regulaciones externas constituyen las reglas de GRC. Las disciplinas, sus componentes y reglas ahora se fusionarán de manera integrada, holística y en toda la organización (las tres características principales de GRC), alineadas con las operaciones (comerciales) que se administran y respaldan a través de GRC. Al aplicar este enfoque, las organizaciones anhelan alcanzar los objetivos : comportamiento éticamente correcto y mayor eficiencia y eficacia de cualquiera de los elementos involucrados.

Ver también

Referencias