Condiciones mínimas de una verdadera Solución de Gobierno, Riesgo y Cumplimiento

Condiciones mínimas de una verdadera Solución de Gobierno, Riesgo y Cumplimiento – GRC

Por

Ricardo Vásquez Bernal

Director de Servicios de GRC LATAM

INVENTARIO DE SOLUCIONES DE GRC

El año pasado hicimos un inventario de las soluciones o herramientas tecnológicas que se vienen comercializando a nivel global, bajo el concepto de Gobierno, Riesgo y Cumplimiento, y fueron varias las conclusiones que comento a continuación:

El enfoque de integración de la solución, depende del entendimiento del concepto que sobre el tema de GRC, tenga la Casa de Software.
Tienden a integrar objetos de diferentes sistemas, para generar informes cruzados, independientemente de su naturaleza o grado de dependencia entre los sistemas.
Se orientan más a satisfacer las necesidades de cumplimiento obligatorio o reglamentario de prácticas.
No son determinantes en el apoyo para la agregación de valor del negocio, por vía de eliminación de redundancias, sobrecontroles o exposiciones, que es el fin de GRC.

La lista es extensa, pero sólo para información, presento algunos de los enfoques de las soluciones del mercado, que se presentan como Suites de GRC.

Soluciones de GRC para el alineamiento de la arquitectura empresarial: procesos y tecnología.
Soluciones de GRC para el cumplimiento de las regulaciones externa y la gestión documental.
Soluciones de GRC para el alineamiento de los procesos con los sistemas de riesgo y control.
Soluciones de GRC para la gestión de riesgos y controles específicos.
Soluciones de GRC para alinear la auditoría interna con los procesos.

CONDICIONES DE UNA SOLUCIÓN EFECTIVA DE GRC

En principio, podría pensarse que una solución íntegra e integral de GRC, debería incorporar todos los enfoques de las soluciones provistas. Sin embargo, es preciso acudir al Concepto de GRC para poder determinar cuáles deben ser sus condiciones.

De acuerdo con OCEG -www.oceg.org-, GRC se entiende como la Capacidad de una Organización para gobernar, gestionar y asegurar el Logro de objetivos, de una manera confiable, abordando la incertidumbre y actuando con integridad – Principled Perfomance.

Bajo nuestro entendimiento, GRC requiere, en consecuencia, la integración de tres perspectivas, como se desarrolla en nuestra metodología de GRC denominada GRCMAX:

La perspectiva de Arquitectura Empresarial que incorpora los ejes de estrategia, procesos, organización, información, recursos y tecnología.
La perspectiva de Gobernanza que incorpora los ejes de gobierno, dirección, operación, supervisión y auditoría.
La perspectiva de Desempeño basado en principios que incorpora los ejes de desempeño, riesgo, control y cumplimiento.

Así las cosas, una verdadera solución integral de GRC debe cumplir estas condiciones mínimas:

a. Primero, permitir el alineamiento de la estrategia con la arquitectura de operación: los procesos, la información y la estructura organizacional.

b. Segundo, asegurar que en la arquitectura alineada, se definen los objetivos de desempeño, su alineamiento e identificación con los riesgos del negocio y operacionales, así como la con definición de los controles y niveles de conformidad requeridos.

c. Tercero, establecer en los dos alineamientos anteriores, las condiciones de gobierno, gestión y aseguramiento requeridos para el objeto de arquitectura en cuestión.

Lo expuesto no quiere decir, que este debe ser el orden de implementación de una solución de GRC, pero sí es una manera de garantizar que estamos frente a una solución plena para el desarrollo y la capacidad de una solución de GRC corporativo. Por ejemplo, en el caso de procesos, tendríamos no sólo la necesidad de garantizar su alineamiento con la estrategia (a), sino también con los objetivos, riesgos, controles y reglas de cumplimiento (b), y los niveles de gobernanza requeridos (c).

Sólo así, podemos hablar de que una solución acredita las necesidades de GRC, potenciar las tres capacidades: gobernanza, desempeño y arquitectura.

Julio de 2018.

Condiciones mínimas de una verdadera Solución de Gobierno, Riesgo y Cumplimiento – GRC

Por

Ricardo Vásquez Bernal

Director de Servicios de GRC LATAM

INVENTARIO DE SOLUCIONES DE GRC

El año pasado hicimos un inventario de las soluciones o herramientas tecnológicas que se vienen comercializando a nivel global, bajo el concepto de Gobierno, Riesgo y Cumplimiento, y fueron varias las conclusiones que comento a continuación:

El enfoque de integración de la solución, depende del entendimiento del concepto que sobre el tema de GRC, tenga la Casa de Software.

Tienden a integrar objetos de diferentes sistemas, para generar informes cruzados, independientemente de su naturaleza o grado de dependencia entre los sistemas.

Se orientan más a satisfacer las necesidades de cumplimiento obligatorio o reglamentario de prácticas.

No son determinantes en el apoyo para la agregación de valor del negocio, por vía de eliminación de redundancias, sobrecontroles o exposiciones, que es el fin de GRC.

La lista es extensa, pero sólo para información, presento algunos de los enfoques de las soluciones del mercado, que se presentan como Suites de GRC.

Soluciones de GRC para el alineamiento de la arquitectura empresarial: procesos y tecnología.

Soluciones de GRC para el cumplimiento de las regulaciones externa y la gestión documental.

Soluciones de GRC para el alineamiento de los procesos con los sistemas de riesgo y control.

Soluciones de GRC para la gestión de riesgos y controles específicos.

Soluciones de GRC para alinear la auditoría interna con los procesos.

CONDICIONES DE UNA SOLUCIÓN EFECTIVA DE GRC

En principio, podría pensarse que una solución íntegra e integral de GRC, debería incorporar todos los enfoques de las soluciones provistas. Sin embargo, es preciso acudir al Concepto de GRC para poder determinar cuáles deben ser sus condiciones.

De acuerdo con OCEG -www.oceg.org-, GRC se entiende como la Capacidad de una Organización para gobernar, gestionar y asegurar el Logro de objetivos, de una manera confiable, abordando la incertidumbre y actuando con integridad – Principled Perfomance.

Bajo nuestro entendimiento, GRC requiere, en consecuencia, la integración de tres perspectivas, como se desarrolla en nuestra metodología de GRC denominada GRCMAX:

La perspectiva de Arquitectura Empresarial que incorpora los ejes de estrategia, procesos, organización, información, recursos y tecnología.

La perspectiva de Gobernanza que incorpora los ejes de gobierno, dirección, operación, supervisión y auditoría.

La perspectiva de Desempeño basado en principios que incorpora los ejes de desempeño, riesgo, control y cumplimiento.

Así las cosas, una verdadera solución integral de GRC debe cumplir estas condiciones mínimas:

a. Primero, permitir el alineamiento de la estrategia con la arquitectura de operación: los procesos, la información y la estructura organizacional.

b. Segundo, asegurar que en la arquitectura alineada, se definen los objetivos de desempeño, su alineamiento e identificación con los riesgos del negocio y operacionales, así como la con definición de los controles y niveles de conformidad requeridos.

c. Tercero, establecer en los dos alineamientos anteriores, las condiciones de gobierno, gestión y aseguramiento requeridos para el objeto de arquitectura en cuestión.

Sólo así, podemos hablar de que una solución acredita las necesidades de GRC, potenciar las tres capacidades: gobernanza, desempeño y arquitectura.

Julio de 2018.

Recent Entries