GRC: MEDIO PARA EL FIN
Estándar
Por
Ricardo Vásquez Bernal
Reconocido Experto Global de GRC
No hay anuncios publicitarios, como introducción que entendemos GRC, como un medio, con la capacidad de armonizar el desempeño, enfocados al logro de los objetivos estratégicos, con los riesgos del negocio y operacionales que se asumen, dando cumplimiento a los requisitos obligatorios y voluntarios. Esta perspectiva potencia el concepto de rendimiento integral que bien puede alinearse con el concepto basado en principios y en nuestra metodología GRCMaX® [1] requiere armonizar cuatro ejes: desempeño, riesgo, control y cumplimiento.
Estos ejes materializan el fondo y la forma de lograr los objetivos estratégicos, asumiendo y monitoreando los riesgos del negocio y operacionales pertinentes, enfrentando los niveles de efectividad de los requisitos obligatorios y voluntarios. Es por ende, una perspectiva fundamental en el desarrollo de GRC, que se desarrolla en los dominios de la arquitectura empresarial: las decisiones, información, procesos, recursos y tecnología, salvaguardando los principios de gobernanza que requieren separar el gobierno, la gestión y el aseguramiento.
La madurez de la perspectiva de desempeño integral, a partir de los ejes comentados de rendimiento basado en principios, debe demostrar tres condiciones:
a. La aplicación de los estándares y buenas prácticas inherentes al desempeño, el riesgo, control y cumplimiento.
segundo. La coherencia de las prácticas con el modelo de capacidad de orquestación de GRC.
do. La integración de los ejes con las prácticas reconocidas de estrategia, procesos, organización, información, recursos y tecnología.
re. La aplicación de los principios y requisitos de la perspectiva de gobernanza.
Desempeño.
El objetivo del eje del desempeño es, sin duda, el logro de los objetivos del negocio. Cumplir con esta misión es necesario tomar las medidas propias de la gestión de calidad, del desempeño estratégico y de la efectividad del modelo de operación. Las dimensiones propias de la gestión de calidad incorporan un modelo de negocio enfocado al cliente, de origen sistémico, basado en procesos, el mejoramiento continuo e información relevante para la toma de decisiones. Por otra parte, considerando el liderazgo, la participación del personal y el adecuado relacionamiento con las partes interesadas. [2]
Ahora bien, las medidas requeridas del desempeño estratégico imponen las soluciones a la definición, gestión y monitoreo de los objetivos en indicadores generados de la operación. Así mismo, las dimensiones del modelo de operación se refieren a los requisitos de los procesos, la información, la tecnología, la organización y los recursos para el manejo de los recursos propuestos. [ 3]
Riesgo.
El objetivo del proyecto de riesgo es hacer la organización con un modelo de negocio sostenible en el largo plazo, monitoreando, asumiendo y gestionando las desviaciones propias de la incertidumbre. Las medidas propias del eje en el comentario que hacen posible este objetivo, deben basarse en los requisitos que imponen un estándar de gestión de riesgos, así como las prácticas propias de un modelo de riesgo de riesgo, por lo menos.
En efecto, elementos para la identificación, evaluación y medición de los riesgos, propios de una norma común [4] que tiende a estructurar un proceso de gestión de riesgos, jugar a un papel clave, a la par de otros elementos propios de las prácticas de Madurez como una existencia de una disciplina analítica de datos, causas y consecuencias, la alineación de los riesgos estratégicos y operacionales, el establecimiento de niveles de vulnerabilidad y capacidad de riesgo y la capacidad de resolución institucional, teniendo en cuenta los planes de contingencia y continuidad. [5]
Controlar.
El objetivo del control de árbol implica la preservación y protección de los recursos tangibles e intangibles que conforman el negocio en marcha. Las dimensiones propias del control de control, deben basarse en los componentes que imponen un estándar de gestión de control, teniendo en cuenta las prácticas para el aseguramiento de tecnología y gestión de la información.
Componentes reconocidos como control de ambiente, evaluación de riesgos, actividades de control, monitoreo y monitoreo, y la información y comunicación configuran las dimensiones del control de control [6], en coherencia con los estándares que se requieren del sistema de control para enfrentar, primero, los riesgos y segundo, para continuar al logro de los objetivos [7].
Cumplimiento.
El objetivo del cumplimiento, implica no solo la garantía del cumplimiento de los requisitos normativos de origen obligatorio, sino también de la conformidad organizacional sobre los compromisos voluntarios, incluidos los niveles óptimos de integridad y trasparencia en el desarrollo de las operaciones de la organización. En suma, es más que cumplir normas.
Las dimensiones propias del eje de cumplimiento, deben basarse en el conjunto de normas, requerimientos y compromisos que la organización asume. Las condiciones imponen obligaciones que deben estructurarse en las prácticas y, a su vez, conforman el carácter de una dimensión. Si se toma, por ejemplo, una norma de reporte debe garantizarse el proceso de generación, la consistencia e integridad [8]. Así mismo, las normas como de personal, las condiciones de contratación, formación y aseguramiento.
[1] GRCMaX es un método de optimización de GRC.
[2] Estándar ISO 9000 de gestión de calidad es una base reconocida.
[3] Prácticas de Arquitectura TOGAF y modelos de estrategia como Balanced Scorecard.
[4] Estándar ISO 31000 y Basilea.
[5] Prácticas de madurez de riesgo RISM.
[6] Estándares COSO.
[7] Estándares COBIT.
[8] Norma SOX, IFRS.
[2] Estándar ISO 9000 de gestión de calidad es una base reconocida.
[3] Prácticas de Arquitectura TOGAF y modelos de estrategia como Balanced Scorecard.
[4] Estándar ISO 31000 y Basilea.
[5] Prácticas de madurez de riesgo RISM.
[6] Estándares COSO.
[7] Estándares COBIT.
[8] Norma SOX, IFRS.
No hay comentarios.:
Publicar un comentario