Grc capability model v3 red book espanol PDF

Preview

Summary

Libro actualizado de GRC actualizado, en español...

Description

Agradecimientos El trabajo continuo de OCEG se ha hecho posible gracias al soporte de sus más de 47,000 miembros globales de miles de organizaciones de todos los tipos y tamaños. Apreciamos especialmente la participación y soporte adicional que recibimos de las siguientes organizaciones en 2015, quienes patrocinaron o financiaron nuestros muchos proyectos, aportando liderazgo en pensamiento y participando en nuestro Consejo de Soluciones GRC o el Consejo Ejecutivo. Por favor, únase a nosotros para agradecer a estas organizaciones líderes y sus representantes:

Star Supporters

Executive and Solutions Council Members

Tabla De Contenidos Tabla%De%Contenidos%...............................................................................................................%0! Liderazgo%del%Red%Book%3.0%....................................................................................................%iii! Licenciamiento%......................................................................................................................%iv! Introducción%al%Desempeño%basado%en%Principios%y%GRC.%........................................................%1! El%objetivo%del%Desempeño%Basado%en%Principios.%.............................................................................%2! El%Concepto%de%GRC%..........................................................................................................................%4! Beneficios%de%las%Capacidades%Integradas%de%GRC%.............................................................................%5! ¿Quiénes%están%involucrados?%..........................................................................................................%7! ¿Cuál%es%el%Punto?%..........................................................................................................................%14! ¿Cómo%se%logra?%.............................................................................................................................%15! ¿A%qué%se%parece?%..........................................................................................................................%16!

Anatomía%del%Modelo%de%Capacidad%de%GRC%.........................................................................%16! Componentes%.................................................................................................................................%16! Elementos%......................................................................................................................................%17! Practicas%........................................................................................................................................%19! Acciones%y%Controles%......................................................................................................................%19! Documentación%Recomendada%.......................................................................................................%19!

Materiales%de%Apoyo%............................................................................................................%21! Modelo%de%Capacidad%de%GRC%Versión%3.0%.............................................................................%23! LC%–%COMPRENDER.........................................................................................................................%24! % AA%–%ALINEAR%.................................................................................................................................%30! PE%–%EJECUTAR%...............................................................................................................................%38! RE%–%EXAMINAR..............................................................................................................................%50! %

Apéndice%A%–%Prácticas..........................................................................................................%54 % ! COMPRENDER%................................................................................................................................%55! ALINEAR%.........................................................................................................................................%65! DESEMPEÑAR%.................................................................................................................................%83! EVALUAR%......................................................................................................................................%115! i

Apéndice%B%–%Documentación%Sugerida...............................................................................%120 % ! DOC.A%–%Autorizaciones%................................................................................................................%121! DOC.D%–%Descripciones%.................................................................................................................%121! DOC.I%–%Normas%internas%..............................................................................................................%122! DOC.M%–%Matrices%........................................................................................................................%122! DOC.P%–%Planes.............................................................................................................................%123! % DOC.R%–%Informes.........................................................................................................................%125! % DOC.S%–%Estados%de%situación%.......................................................................................................%126!

Apéndice%C%–%Aportes%al%Red%Book%Desarrollo%de%Versiones%1.0%–%3.0%...................................%127! Comité%de%Liderazgo%del%Red%Book%...............................................................................................%128! Co-%Directores%del%Comité%Ejecutivo%Red%Book%2.0%........................................................................%129! Comité%Ejecutivo%Red%Book%(V%1.0%–%2.1)%.......................................................................................%130! Equipo%de%Trabajo%y%Supervisores%de%Red%Book%(V1.0%–%2.1)..........................................................%131! %

ii

Liderazgo del Red Book 3.0 El desarrollo de la Versión 3.0 ha sido liderado por: Autores Principales: Carole S. Switzer, OCEG Co-Fundador & Presidente Scott L. Mitchell, OCEG Co-Fundador & Chairman Autor Contribuyente: Jason Lee Mefford, Managing Director de GRC Certify OCEG cuenta con la experiencia de un grupo élite de individuos y organizaciones que aportan sus conocimientos y valiosos consejos como apoyo en nuestra búsqueda de servir a las necesidades de conocimiento y recursos de los profesionales de GRC. Muchos han participado en diversas etapas de desarrollo del Red Book a lo largo de los años, así que hemos incluido una lista de las personas que han contribuido al desarrollo del Red Book 1.0 y posteriores actualizaciones en el Apéndice C, indicando su afiliación en el momento de su aporte. Además, agradecemos a las personas que se mencionan a continuación por sus importantes contribuciones a los debates sobre Desempeño Basado en Principios y la necesaria integración de las capacidades de GRC, que han guiado el desarrollo del Red Book 3.0. Clark Abrahams

Bruce McCuaig

Brian Barnier

Bob Miromonte

Brett Curran

Andrew Neblett

David Childers

Marie Patterson

Joe DeVita

Michael Rasmussen

Shaheen Javadizadeh

Kelly Ray

Larry Harrington

Scott Roney

Anita Helpert

Mike Rost

Stephanie Jenkins

Nicole Sandford

Tim Leech

Billy Spears

Stephane Legay Paul Liebman

Jose Tabuena Marshall Toburen

Jimmy Lin

Patrick Quinlan

Norman Marks

Ricardo Vasquez

Jay Martin

Dan Zitting

iii

Licenciamiento El Modelo de Capacidad Red Book de OCEG está licenciado por OCEG bajo una Atribución Creative Commons— Share Alike 3.0 Unported License. Permisos más allá del alcance de esta licencia pueden estar disponibles en http://www.oceg.org/advanced-license-permissions.

Esta licencia permite: •

Compartir — copiar y redistribuir el material

•

Adaptar — reajustar, transformar y crear a partir del material

Bajo estos términos: •

Atribución — Debe darle crédito a esta obra de manera especificada por el autor o el licenciante (pero no de forma tal que sugiera que su uso tienen el apoyo del licenciante).

•

Uso Compartido — Si se altera, transforma o construye a partir de este trabajo, debe distribuir el producto resultante solamente bajo licencias iguales o similares a esta.

Atribución: Al atribuir el trabajo de OCEG: •

Incluir en el sitio o a lo largo del documento el texto "Incluye material copiado de o derivado de OCEG en http://www.oceg.org" (Incluir un hipervínculo cuando sea posible); y

•

Para cada uso específico, incluir el texto "Incluye material copiado o derivado de [título y dirección electrónica e hipervínculo (en los casos en que sea posible) de la página de OCEG o documento]."

Entendemos que algunas organizaciones no podrán utilizar contenidos de código abierto en sus productos y/o proyectos. Por tanto, también ofrecemos otras licencias que permiten incluir este contenido en su proyecto/producto. Contáctenos en [email protected] para más detalles. OCEG, Desempeño Basado en Principios y Modelo de Capacidad de GRC son marcas registradas de OCEG.

Traducción del Red Book 3.0 al español Esta traducción del Red Book ha sido provista por el equipo de consultores y expertos de GRC de Baker Tilly (en Colombia y LATAM). Gracias a todos los que participaron en el proceso de traducción y revisión.

iv

Introducción al Desempeño basado en Principios y GRC. El actual clima empresarial es mucho más complejo y difícil que antes. Problemas que, históricamente, eran inherentes sólo a las grandes compañías internacionales, están afectando a las empresas pequeñas, las organizaciones sin fines de lucro y los organismos gubernamentales. Así mismo, las partes interesadas1- stakeholders internos y externos- no sólo exigen un alto desempeño empresarial, sino también transparencia en las operaciones del negocio. Bajo este contexto, los riesgos y requerimientos son numerosos, varían constantemente y de manera rápida causando impactos relevantes en las organizaciones. El uso de terceros dentro de la organización –insourcing-, así como haciendo parte de su cadena de valor –outsourcinges cada vez más generalizado y difícil de manejar. La variedad, velocidad y volumen de los cambios dentro y fuera de las organizaciones es abrumador. Nuevas regulaciones, decisiones de negocios, cambios de personal y desarrollo de las tecnologías son sólo algunos de los muchos ejemplos que connotan la expansión del cambio. Así, se tiene como resultado que los costos de la gestión de riesgos y requerimientos que soportan la gestión del desempeño para el logro de los objetivos operan por fuera de control. Muchas organizaciones, tanto a nivel de la empresa global como de sus unidades de negocio, fallan al establecer los objetivos y las estrategias que les resultan apropiadas, por cuanto no considera un entendimiento integral del desempeño, el riesgo y los asuntos de cumplimiento relacionados. Muchas otras organizaciones, a su vez, fallan en la ejecución de sus estrategias, el monitoreo del desempeño y los ajustes oportunos que éstos requieren. Por su parte, un gran número de entidades fallan en el cumplimiento de las regulaciones y otros requerimientos, o bien en estar atentos a los requerimientos que les aplican. Aún aquellas organizaciones que ejecutan un trabajo adecuado internamente, fallan al requerir las mismas acciones a los terceros o partes relacionadas que emplean. En todos estos casos, hay una falta de

1

Stakeholders se entiende a lo largo de todo el documento Red Book – V3 bajo la expresion: “partes interesadas”.

1

supervisión relevante, significativa y continua desde los órganos de gobierno, de manera que la confianza en el negocio y sus operaciones es frágil, vacilante y limitada. En resumen, estas situaciones generan que el statu quo de muchas empresas no sea sustentable ni sostenible en el corto y largo plazo.

El objetivo del Desempeño Basado en Principios. Para abordar este problema creciente y de gran envergadura, muchas entidades han adoptado una visión que apunta hacia el desempeño basado en principios; un punto de vista y modelo del negocio que exige lograr los objetivos de manera confiable, al mismo tiempo en que se aborda la incertidumbre (riesgo y retorno) y se actúa con integridad (respetando las obligaciones legales y los compromisos voluntarios). Esta visión le permite al desempeño considerar las amenazas y oportunidades, así como los requerimientos mandatorios que se derivan de marcos legales y compromisos voluntarios declarados en la misión, visión, valores, contratos y acuerdos laborales. El enfoque del desempeño basado en principios en la planeación o ejecución de todos los proyectos o tareas aplicados a todos los niveles de la organización, permite establecer un objetivo común y una cultura que soporta el éxito organizacional. Pensar en su organización bajo la misma perspectiva que un organismo viviente, implica considerar que puede estar saludable pero, de un momento a otro, puede comenzar a estar frágil o incluso enfermarse. Con el tratamiento adecuado, el organismo puede enfrentar las debilidades y recuperar su estado saludable, que bien puede ser marginalmente funcional, o fuerte, ágil y resistente. Igual pasa en la organización. Así, debe considerarse, entonces, en lo que es necesario para la vida de un organismo o para la organización. La vida en el organismo comienza con los aminoácidos – comúnmente conocidos como los ladrillos o bloques de construcción de la vida. Todos los genes requieren aminoácidos para funcionar. Neurotransmisores, hormonas y músculos son formados por los mismos aminoácidos y se desarrollan en partes del cuerpo, cada una con sus propios propósitos y capacidades. Todos estos sistemas tienen que operar en una forma integrada y alienada, comprometiéndose, simultáneamente, con la defensa para proteger al organismo de los daños y el crecimiento proactivo para orientar el éxito. 2

No es diferente para una organización de negocios. Para crecer y tener éxito hay muchas funciones (cada una con su propio personal, procesos, tecnologías e información) que tienen que operar juntas; desde actividades clave del negocio tales como investigación, desarrollo, producción, marketing, ventas, logística y servicios, hasta actividades de apoyo como gobierno, planeación estratégica, gestión del desempeño, gestión del riesgo, control interno, cumplimiento, legal, finanzas, recursos humanos y auditoría. Todas estas funciones y actividades tienen que usar muchos de los mismos datos y contribuir a la recolección y generación de otros datos, pero en diferentes vías, al igual que las funciones separadas de un organismo viviente que usan los mismos aminoácidos en diferentes combinaciones y aportan información para el organismo global. No obstante, la necesidad de coordinar y alinear el apoyo y soporte de estas funciones para el beneficio sostenido y el éxito de la organización, muchos las gestionan en departamentos y áreas dispares con poca o ninguna comunicación multifuncional. Peor aún, en algunos casos, ni siquiera las actividades e información común es gestionada, en absoluto, de manera que están literalmente por fuera de los proyectos de mejoramiento de los procesos de negocio en la organización. El estado saludable y vigoroso del ser que habilita el éxito, solo puede lograrse mediante el establecimiento de objetivos comunes, el alineamiento de la información y de funciones clave, y el apoyo que se logra con robusta comunicación, tecnología efectiva y cultura deseada. No es suficiente una orientación agresiva hacia el logro de los objetivos. Para tener éxito, se tienen que considerar los límites y restricciones de las normas, las costumbres sociales y las incertidumbres que surgen en relación con los riesgos y beneficios potenciales. Ni puede la gestión del desempeño, riesgo, cumplimiento y conducta ética estar separada de las actividades para el logro de objetivos, tampoco los músculos del organismo funcionan independientes de sus neurotransmisores o del sistema hormonal. Todo debe alinearse y operar mediante capacidades de gobierno, riesgo y cumplimiento integradas

3

Figura 1

– Vista de Integración del Desempeño Basado en Principios

Es común que se hable sobre el desempeño de los negocios y la necesidad de alcanzar los objetivos, pero resulta una conversación insuficiente. El logro exitoso del Desempeño Basado en Principios requiere capacidades coordinadas para manejar el desempeño frente a los objetivos, el riesgo derivado de las incertidumbres y el cumplimiento tanto de requerimientos obligatorios como voluntarios, cada una en consideración de otra. Estas capacidades tienen que incluir un plan integrado de gobierno, gestión y aseguramiento. Sólo entonces la organización tendrá un desempeño basado en principios.

El Concepto de GRC El acrónimo GRC es una referencia abreviada del conjunto de capacidades críticas que tienen que operar juntas para lograr el Desempeño Basado en Principios. GRC denota gobierno, gestión del riesgo, y cumplimiento, pero significa mucho más que estos términos simplemente reunidos en un acrónimo. Es importante recordar que las organizaciones han sido gobernadas, y el riesgo y el cumplimiento ha sido gestionado, por un largo tiempo - GRC no es nada nuevo. No obstante, muchas de estas organizaciones no han enfocado estas actividades con madurez, o estas actividades no se soportan entre sí para mejorar la probabilidad de lograr los objetivos organizacionales. Esto hace de GRC, tal como la entendemos hoy en día, un concepto totalmente revolucionario. En una organización con visión de futuro, GRC es visto como un conjunto bien coordinado e integrado de todas las capacidades necesarias para apoyar el Desempeño basado en Principios en todos los niveles de la organización. GRC no sobrecarga al negocio, lo apoya y lo mejora.

4

Beneficios de las Capacidades Integradas de GRC La integración de las capacidades no significa la creación de un mega-departamento de GRC y acabar con los enfoques descentralizados o programáticos para la gestión de riesgo y cumplimiento. Tampoco implica el uso de un solo sistema de tecnología de GRC. Más que eso, se trata de establecer un modelo que asegure que las personas pertinentes reciben la información correcta y apropiada de manera oportuna, que se establecen los objetivos adecuados, y que las acciones adecuadas y controles necesarios abordan la incertidumbre y se actúa con integridad. Cuando las actividades de negocios operan en silos frente a su propia información, que se mantiene separada, es altamente probable que se establezcan objetivos erróneos o contraproducentes, se seleccionen estrategias sub-óptimas y no se optimice el desempeño. La existencia de una vocabulario y taxonomías unificadas de información; el establecimiento de repositorios comunes para los datos, documentos e información; la creación de procedimientos y formatos para asuntos como políticas y entrenamiento; el aseguramiento de comunicación regular y consistente entre y con todos los roles relevantes incluyendo los tomadores de decisiones estratégicas – esto es en todos los aspectos de las capacidades eficaces de GRC integradas de GRC, cuando se establecen objetivos para la empresa global o para proyectos o departamentos específicos. Los beneficios de la integración de la...