Libro Fundamentos de GRC

35
7/23/2019 Libro Fundamentos de GRC http://slidepdf.com/reader/full/libro-fundamentos-de-grc 1/35  1 Fundamentos de GRC www.grcenespanol.com FUNDAMENTOS DE GRC GRC: Gobierno, Riesgo y Cumplimiento Ricardo Vasquez Bernal Socio Líder de Servicios de GRC Business Consulting Latinoamérica

Transcript of Libro Fundamentos de GRC

Page 1: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 1/35

 

1Fundamentos de GRC

www.grcenespanol.com 

FUNDAMENTOS

DE GRCGRC: Gobierno, Riesgo y Cumplimiento

Ricardo Vasquez BernalSocio Líder de Servicios de GRC

Business ConsultingLatinoamérica

Page 2: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 2/35

 

2Fundamentos de GRC

www.grcenespanol.com 

Créditos

Elaborado por:

Baker TillyBusiness ConsultingColombiaMarzo, 2015

Para más información visite:www.grcenespanol.com

Certifíquese como profesional de GRC. Participe de losSeminarios de formación en GRC.Ingrese a http://grcenespanol.com/seminarios-grc/  paramás información.

Este documento es gratuito, para obtener una copia solodebe solicitarla atreves del sitio: www.grcenespanol.com 

Queda prohibida la reproducción total o parcial de estapublicación, por cualquier medio o procedimiento, sin paraello contar con la autorización previa, expresa y por escritode Baker Tilly. Toda forma de utilización no autorizada seráperseguida con lo establecido en la ley del derecho deautor. Derechos Reservados Conforme a la ley, ©.

Todos los derechos reservados ®

2015

Page 3: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 3/35

 

3Fundamentos de GRC

www.grcenespanol.com 

Contenido

Contenido ............................................................................................... 3

Introducción. ........................................................................................... 4

Perspectiva del Desempeño Basado en Principios. ................................ 7

2.1 Bases Conceptuales. ..................................................................... 7

2.2 Desempeño: Logro de objetivos confiables. ............................... 11

2.2 Riesgo y Control: Evaluación de la Incertidumbre. ..................... 14

2.3 Cumplimiento: Actuación con Integridad. .................................. 22

Perspectiva de la Arquitectura Empresarial. ........................................ 24

3.1 Bases Conceptuales. ................................................................... 24

3.2 Arquitectura del Negocio. ........................................................... 25

3.3 Arquitectura de información, Aplicaciones y Tecnología. .......... 27

Perspectiva del Enfoque de Aseguramiento......................................... 28

4.1 Bases Conceptuales. ................................................................... 28

4.2 Gobierno y Gestión. .................................................................... 28

4.3 Aseguramiento. .......................................................................... 29

Perspectiva del Alcance Organizacional. .............................................. 32

5.1 Bases Conceptuales. ................................................................... 32

5.2 Proyectos de GRC. ...................................................................... 32

Conclusiones. ........................................................................................ 34

Bibliografía ............................................................................................ 35

Page 4: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 4/35

 

4Fundamentos de GRC

www.grcenespanol.com 

Introducción.

La complejidad de implementar un elevado número de

regulaciones, el incremento en la exposición a riesgos y lanecesidad de encontrar eficiencias internas para hacer másefectivo el modelo de negocio, hace necesario entender laimportancia, profundidad y alcance de un concepto comoGRC, por cuanto es algo más que un acrónimo, quemuchos identifican con las responsabilidades decumplimiento, requerimientos de gobierno corporativo o laimplementación de sistemas de riesgos.

GRC es, en verdad, una capacidad de la organización parapotenciar el ahorro de costos, la optimización operativa, el

mejoramiento continuo, la eficiente gestión de riesgo ycontroles, al igual que la gestión integrada del desempeñocon fuertes niveles de aseguramiento. Es, en efecto, algomás que cumplir normas, implementar riesgos y emitirmanuales y estatutos de gobierno, y no puede entenderse,tampoco, como una solución de tecnología, un programade evaluación, y mucho menos una nueva norma oestándar para cumplir.

Conocer las potencialidades deGRC para el beneficio e impacto

empresarial, en suma, requieredesarrollar y nivelar una base decomún de conocimientos sobrelos elementos que implica elacrónimo, las prácticasreconocidas de aplicación frentea problemas y desafíoscontemporáneos, y elconocimiento de los elementos ycomponentes de un potencialmarco estructurado.

Visto así, se presenta como unacapacidad de mejoramientocontinuo que apoya la

optimización empresarial, que tiene distintos niveles demadurez que configuran su aplicación o implementación y,derivado de esto, cómo se pueden generar competencias

“GRC es una capacidad de

la Organización parapotenciar el ahorro decostos, la optimizaciónoperativa, el mejoramientocontinuo y la eficientegestión del riesgo y

desempeño”

Page 5: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 5/35

 

5Fundamentos de GRC

www.grcenespanol.com 

que apoyan la ejecución de proyectos de carácter integralcon resultados multifuncionales.

Un GRC integrado y holístico se conforma por cuatroperspectivas: a. La perspectiva del desempeño basado en

principios; b. La perspectiva de la Arquitectura Empresarial,c. La perspectiva del Enfoque del Aseguramiento y d) laperspectiva del alcance.

Con estas perspectivas, GRC cumple un importantederrotero establecer qué quiere lograr, cómo lo quierelograr, cual nivel de madurez requiere y donde lo quierelograr. El desempeño basado en principio define el marcode objetivos que la empresa quiere lograr, la identificación y

gestión de los riesgos esperados y el cumplimiento de lasnormas internas y externas a los que la empresa deberásometerse. El enfoque de aseguramiento, implicaestablecer las intervenciones de gobierno, gestión yaseguramiento que serán requeridas para asegurar losderroteros del desempeño, riesgo y cumplimiento, enprincipio.

Desempeño

Basado enPrincipios

Enfoque del

Aseguramiento

AlcanceOrganizacional

ArquitecturaEmpresarial

Page 6: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 6/35

 

6Fundamentos de GRC

www.grcenespanol.com 

La arquitectura empresarial, por su parte representa loselementos y objetos requeridos para materializar losresultados y la operación del desempeño, riesgo ycumplimiento, como son los procesos, la estructuraorganizacional, la tecnología, la información y los recursos,

al paso que el alcance organizacional se refiere a que estaimplementación puede llevarse a cabo a nivel corporativo,de la entidad, de un proyecto o de una unidad odepartamento.

Cada una de estas perspectivas será objeto de un análisisgeneral e integral en las próximas líneas.

Page 7: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 7/35

 

7Fundamentos de GRC

www.grcenespanol.com 

Perspectiva del Desempeño

Basado en Principios.

2.1 Bases Conceptuales.Concepto. El Desempeño basado en principios se refiereal logro de objetivos de una organización, de una maneraconfiable,  abordando la incertidumbre y actuando conintegridad.1 Son varios sustantivos los que subyacen en ladefinición: el logro esperado de objetivos, en función delmodelo de negocio, la incertidumbre que involucra elconcepto de riesgo y control, y la integridad que va más alládel cumplimiento obligatorio de normas.

La construcción de este concepto, basado en el estudio deOCEG2, involucra la necesidad de incorporar las variablesde incertidumbre e integridad, atadas al desempeño. Esdecir, que no basta con que una organización se constituyapara generar rentabilidades y crecimientos patrimoniales,por cuanto, de manera recíproca su sostenibilidad en ellargo plazo, depende de su responsabilidad y compromisoante las partes interesadas, así como de la evaluación delos factores internos y externos que, en función del modelode negocio, afectan su estrategia y operación.

1 El Desempeño basado en principios es un concepto acuñado por OCEG,

como base estructural del GRC. OCEG- Red Book. Modelo de Capacidad.

Introducción al desempeño basado en principios. Pags.11 y 12.2 Curso de fundamento de GRC. OCEG. Open Compliance and Ethics Group.

www.OCEG.org

DESEMPEÑO 

RIESGO Y

CONTROLCUMPLIMIENTO

Logro de

Objetivos

Confiables

Abordando la

Incertidumbre

Actuando

con

Integridad

Page 8: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 8/35

 

8Fundamentos de GRC

www.grcenespanol.com 

La integridad, primero, ha jugado un rol fundamental en lasostenibilidad de las empresas en las últimas décadas. Laprofunda depresión, por ejemplo, del precio de las accionesde las empresas más grandes del mercado de valores enUSA, a comienzos del siglo generado por los problemas de

transparencia de información, malos manejos y reportesinexactos que llevaron a la quiebra a un sinnúmero deempresas estandarte del mercado de capitales, es unreferente implacable de los efectos que produce en lasostenibilidad.

La incertidumbre, en igual sentido, ha representado efectosrelevantes, como ocurrió a finales de la primera década, entanto se materializó en una fuerte caída del precio de lasacciones, como resultado de consideraciones y aspectospropios de la especulación del mercado, que no se explicó,propiamente, por caídas de las variables o indicadoresfundamentales de las empresas sino por burbujasespeculativas que generaron insuficientes e inexistentesgarantías terminaron por quebrar la confianza en el sistemafinanciero y el mercado de valores a nivel global.

El desempeño basado enprincipios impone condiciones.Estos son, en esencia, losmismos principios que debenacompañar el desempeño. Unose refiere a la necesidad de que

una organización definaobjetivos razonables,alcanzables y medibles3. Es unafalencia común en las empresasencontrar que los objetivos no sedeclaran y cuando lo hacen, o no

se pueden medir porque no tienen mecanismos base deseguimiento, o no se pueden asegurar porque no sealinean con los procesos, operaciones o líneas de negocio.Este parece ser el sitio común de limitaciones en ladefinición de objetivos que niegan el principio del logro de

objetivos confiables.

Además de este principio imperativo, se encuentra otro nomenos importante que tampoco se aplica y es que losobjetivos se deben ponderar en función de las

3 OCEG. Curso de fundamentos y formación Profesional en GRC.

www.OCEG.org

“Desempeño basado enPrincipios es el logro deobjetivos confiables,

abordando la incertidumbrey actuando con integridad”

Page 9: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 9/35

 

9Fundamentos de GRC

www.grcenespanol.com 

oportunidades y amenazas del negocio, es decir en uncontexto de incertidumbre, aspectos estos que, si seconsideran, no pasan de la identificación de factoresexternos o internos que pueden afectar el logro de losobjetivos. Lejos de métricas, lejos de indicadores y, por

supuesto, lejos de impactos.Será preciso tener, en materia de la evaluación de laincertidumbre, la misma rigurosidad que se aplica para ladefinición y escalamiento de un objetivo estratégico enmetas tácticas dentro del modelo de operación. La gestiónintegral del riesgo se resuelve, normalmente, por vía delexamen de los riesgos financieros y no financieros, confines regulatorios. Sin embargo, el principio deincorporación de la incertidumbre requiere una perspectivade alcance estratégico, lejos de los requerimientosnormativos.

Finalmente, la condición de integridad se refiere a que juntoa los desafíos a alcanzar, están los compromisosvoluntarios y obligatorios que se adquieren con las partesinteresadas, y deben hacer parte integral del desempeñobajo principios. Este es un principio que, igual, va más alláde la verificación del cumplimiento de los marcosnormativos obligatorios y se refiere a la actuación conintegridad que implica comportamientos éticos yhonorables, muchos de los cuales no se garantizan con laemisión de estatutos.

 Alcance.  Una organización,podría entender en principio,que aplicando las distintasprácticas y estándaresinherentes para el desempeño,el riesgo, el control y elcumplimiento, comoseguramente lo viene haciendopor las regulaciones en acción,cumpliría con las condicionesdel Desempeño Basado enPrincipios. Sin embargo, el valoragregado de este importanteconcepto radica, justamente, enla aplicación integral e integrada

de todas estas prácticas y estándares, para optimizar laeficiencia operacional.

“El Desempeño basado enPrincipios no es un nuevoestándar. Es la integracióny orquestación de lasprácticas y estándares de

Desempeño, Riesgo,Control y Cumplimiento”.

Page 10: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 10/35

 

10Fundamentos de GRC

www.grcenespanol.com 

Desempeño basado en principios requiere resolver losproblemas de silos independientes causados por laaplicación individual de prácticas, que tratadas así, generanprofundos costos e ineficiencias causados porduplicaciones de información, reprocesos, actividades de

poco valor, procesos y protocolos no documentados,métodos y aplicativo de poco alcance, datos e informaciónimprecisa, sobre-control, exposiciones en líneas o áreascríticas y desarrollos de tecnología subutilizados, solo porcitar algunos temas que golpean con presión la efectividaddel negocio.

El impacto esperado de la implementación del desempeñointegral bajo principios debe significar un salto en laefectividad de los resultados de la empresa, un significativoahorro en la eficiencia de los recursos y un notable avanceen la eficiencia de las operaciones. Es potenciar larentabilidad bajo el enfoque de optimizar los costos,procesos y métodos de operación.

La estructura del desempeño basado en principiosincorpora, cuatro disciplinas, cada una de las cuales estásoportada, en marcos de referencia propios, autónomos,con objetivos específicos, pero deben ser integrados. Eldesempeño con el derrotero central del logro de objetivos;el riesgo y control para la evaluación de la incertidumbre yla efectividad operacional, respectivamente, y elcumplimiento para desarrollar y garantizar el cumplimientonormativo.

Cuando se advierte que cada disciplina impone sus propiosmarco de referencia, modelos y niveles de madurez, seplantea, justamente uno de los problemas más serios queGRC debe resolver: la integración de prácticas deDesempeño, como puede ser el Balanced Sorecard o losmodelos de planeación que potencian la estrategia, con losestándares de gestión de riesgos (ISO 31000 o Basilea).En igual sentido, la alineación de las prácticas o estándaresde riesgo con los estándares de control y las prácticas deauditoría interna. Finalmente, la alineación de losrequerimientos de cumplimiento normativo con las prácticasde control, gestión de riesgos y desempeño.

Page 11: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 11/35

 

11Fundamentos de GRC

www.grcenespanol.com 

Fuente: WWW.OCEG.ORG  – Curso de Fundamentos de GRC

Resolver este gran desafío se ha convertido en uno de losaspectos cruciales de la operación empresarial, por cuantoha puesto en claro responsabilidades, funciones,información, organización, métodos y tecnologías comunes.Y es, a la postre, el principal desafío de GRC. Laintegración y orquestación del GRC requiere reconocerclaramente el modelo de negocio, por cuanto en función delos derroteros y objetivos es que se pueden advertir losfactores críticos y niveles de exposición que hacen posiblela integración.

2.2 Desempeño: Logro de objetivos confiables.Definición de objetivos estratégicos. Para comenzar por

el desempeño, cualquier empresa establece sus objetivosaplicando algún indicador de valor, el cual se conforma apartir de las utilidades o ganancias generadas, tasas decrecimiento, nivel de costos operacionales, resultados porlíneas de negocio, número de Ebitdas, indicadorescompuestos de rentabilidad/financiamiento, o niveles deservicio, entre otros.

En todos los casos, es altamente probable que laorganización disponga de la información base requeridapara establecer los niveles alcanzables, las tolerancias y

exposiciones del indicador de referencia, para construir unarelación de probabilidad de riesgo/retorno donde debeestablecer un resultado esperado en función de un nivelprobabilístico de riesgo asumido, como el que se muestra acontinuación.

DESEMPEÑO 

RIESGO Y

CONTROLCUMPLIMIENTO

US FSG 

AS 3806 

Quality

Management 

Domain-Specific 

SOX 

ERM 

ISO 31000 / BSI

31100 

UK Orange Book 

IRM / ALARM 

Domain-Specific

(BASEL) 

COSO 

Balanced Scorecard 

Strategic Planning 

Business Intelligence 

Decision Science 

Quality Management 

Page 12: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 12/35

 

12Fundamentos de GRC

www.grcenespanol.com 

En este caso, consideremos que una organizaciónconsidera el Ebitda como su indicador de desempeñoestratégico. Aplicando algunas técnicas de simulaciónsobre las variables base4: volumen de producción, costosvariables, costos fijos y variables, la organización estableceque con un nivel de probabilidad entre el 60% y el 80% sepuede esperar un resultado que fluctúa entre el rango a-b,que implica resultados entre US $ 3 millones y US $ 4

millónes. Este será su rango de tolerancia.

 Alineación de la estrategia conlíneas y productos.  El planestratégico tendrá la función, enconsecuencia, de segregar paracada línea de negocio yproducto, los niveles deproducción, operación y ventasrequeridos. Este objetivo debecumplir con las condiciones

impuestas por el desempeñobasado en principios; es decir,que es un objetivo intencional,

medible y visible, y además de eso confiable, por cuanto,es razonable, veraz y verificable, en función de la dinámica

4 Simulación de Montecarlo con variables objeto: Precio, Costo Variable, Costo

Fijo, depreciación y volumen de producción. La variable resultado es la

fórmula de cálculo del Ebitda. (Ganancia operacional más depreciación)

“La gestión integral delDesempeño requiere laalineación e integración delos planes estratégicos con

el modelo de operación.”

Page 13: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 13/35

 

13Fundamentos de GRC

www.grcenespanol.com 

de la empresa y la capacidad productiva y operativa de susprocesos.

La identificación de este objetivo incorpora,necesariamente, el efecto de los factores externos e

internos que introduce la incertidumbre, en un contextoparticular. Los factores externos se refieren a condicionesde la industria, el mercado, las tecnologías, el ambientenormativo y fuerzas geopolíticas que pueden afectar laparticipación en el mercado, la competitividad yposicionamiento del producto, variables que, en la mayoríade los casos, están por fuera del control de la empresa. Asímismo, están los factores internos que, a diferencia de losanteriores, se subordinan y someten al control de laempresa. Estos tienen que ver con la estructuraorganizacional, los procesos de negocio, el capitalhumano, los recursos tecnológicos, financieros, físicos y deinformación que conforman la capacidad de operación de laentidad.

Pues bien, la alineación que requiere el desempeño, paraintervenirse como una capacidad de GRC, es la necesidadde establecer como los factores internos considerados seincrustan en el modelo de operación, de manera que setengan mecanismos accionables e inductores desde losprocesos, la información, la cultura y el comportamiento,así como la tecnología y de los recursos disponibles.

Cualquiera sea la metodología aplicada – Balancedscorecard, Inteligencia de Negocios, Planeaciónestratégica-, la entidad debe alinear con las funciones yáreas de la estructura organizacional, los procesosmisionales y operativos, la información y las tecnologíasdisponibles, la operación y capacidad de producción,ventas y financiación, de manera que metas operativas ytácticas respondan al objetivo estratégico establecido. Estono será posible, si no se conocen y optimizan los procesosestratégicos y misionales. Así mismo, requiere métricasderivadas y alineadas con los procesos, la información y latecnología basadas en variables objetivas y balanceadas,así como reportes objetivos que surgen de la operación.5 

5  The strategic Management Maturity Model. Balanced Scorecard Institute.

Pags. 4 y 5. 2010.

Page 14: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 14/35

 

14Fundamentos de GRC

www.grcenespanol.com 

2.2 Riesgo y Control : Evaluación de la

Incertidumbre.Identificación y alineación de los Riesgos estratégicos. La evaluación de la incertidumbre que enmarca el riesgo delas amenazas y el retorno de las oportunidades se

desprende, justamente, de las variaciones que puedenpresentarse, primero en el logro de los objetivospropuestos. Esto es el riesgo estratégico o del negocio quese refiere a una inadecuada estrategia de negocios paraalcanzar o derivada de cambios adversos en los supuestos,parámetros, metas u otros aspectos que apoyan laestrategia. El riesgo estratégico es una función de losobjetivos estratégicos, el desarrollo del modelo de negocioy los recursos desplegados para perseguirlos y alcanzarlos,y la calidad o eficiencia con la que se implementan talesrecursos.6 

Para el caso del ejemplo, seestimaría la presencia de unriesgo estratégico cuando elEbitda esperado, supera losniveles de probabilidadconsiderados entre el 60% y el80%, de manera que laestrategia se empieza a separardel rango de toleranciaestablecido, bien porque se

disminuya a niveles noaceptables, a la izquierda de A,o a niveles inmanejables deingresos, a la derecha de B.

En el primer caso, porque esevidente que se afecta lacapacidad patrimonial por vía delos resultados operacionales, y

en el segundo caso, porque se pueden estar generandocircunstancias ajenas a los pronósticos relativos al máximo

nivel de la capacidad de producción, a la disponibilidad derecurso humano, físico financiero para atender tal nivel dedemanda, que afecte la sostenibilidad de largo plazo de laempresa.

6 Operational RIsk – An Introduction. Tomada de www.fsiconnnet.org. 

“La gestión integral delriesgo requiere ladeterminación de losriesgos del negocio que sederivan de la estrategia y

su alienación e integracióncon los riesgosoperacionales y financierosde las líneas de negocios”.

Page 15: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 15/35

 

15Fundamentos de GRC

www.grcenespanol.com 

Los principios de evaluación de incertidumbre que refiere elconcepto de desempeño basado en principios, incorporalas condiciones de una métrica holístico, es decir que debeincorporar circunstancias que pueden generar pérdidas opueden generar beneficios, en tanto son desviaciones deresultados esperados. En este caso, por ejemplo, no sólopueden ser malas las desviaciones adversas, sino tambiénlas desviaciones favorables que presionan el flujo ordinario,

continuo y sostenible del negocio a excesos de lacapacidad instalada.

Otro principio inherente a la evaluación de la incertidumbrees la proactividad, que significa buscar un resultado obeneficio esperado haciendo consciencia del riesgoasumido. En este caso, cuando la empresa estima alcanzarun rango de resultados esperados, admite un nivelprobabilístico de confianza aceptable, y eso, al final del día,impone condiciones de capacidad productiva, financiera yde operación que la empresa debe sostener, generar y

mantener.Finalmente, la rigurosidad de la evaluación de laincertidumbre requiere establecer con absoluta precisiónlas causas y efectos para operar e inducir los resultados.Este principio confirma la necesidad de la alienación de laestrategia con los recursos y procesos del modelo de

Page 16: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 16/35

 

16Fundamentos de GRC

www.grcenespanol.com 

operación, como bien se requiere para establecer elcomportamiento del riesgo de negocio.

Es imperativo entonces, bajo GRC, la alineación de losobjetivos estratégicos con los riesgos del negocio

establecidos por las probabilidades de ocurrencia defactores internos y externos cuantificables y la severidadsobre los resultados esperados. Esta puede considerarse laprimera alineación requerida.

Identificación y alineación con riesgos financieros yoperacionales.  No obstante, la efectividad del riesgo denegocio implicará operarse mediante un enfoque integral,de manera que debe alinearse con los procesos, funciones,líneas de negocios, roles y geografías, al igual que losobjetivos, para que pueda integrarse con la misión y visión

estratégica, mediante la evaluación del grado de exposicióna la incertidumbre causada por potenciales desviaciones delos planes, presupuestos, recursos y operaciones.7 

Se requiere, en consecuencia, una segunda alineación delriesgo del negocio estratégico, con otro tipo de riesgosfinancieros y no financieros que afectan la operación y susresultados, y, en tal sentido, deben ser tomados en cuenta.Son riesgos financieros, el riesgo de liquidez y mercado, yriesgos no financieros, los riesgos operativos, en tanto serefieren a los procesos, recursos, tecnología e informacióndel modelo de operación, para el cumplimiento de losobjetivos.

Los riesgos financieros se ajustan a la situación deexposición de la tesorería, liquidez e inversionesfinancieras, al paso que los riesgos operativos sereconocen como los riesgos de pérdida que puedenresultar de fallas en los procesos, el personal o lossistemas internos, o bien como consecuencia deacontecimientos externos, en particular, incluyendo tambiénlas pérdidas que pueden resultar por incumplimientos,incorporadas bajo el riesgo legal.8 

7  Tomado de www.RIMS.org.  Risk Maturity Model for Enterprise Risk

Management.. Risk and Insurance Management Society. Pag.8

8 El marco de Basilea, de aplicación para las entidades financieras, requiere los

riesgos operativos se clasifiquen en categorías, como son el fraude interno,

fraude externo, relaciones laborales, prácticas con clientes, productos y

Page 17: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 17/35

 

17Fundamentos de GRC

www.grcenespanol.com 

Estos riesgos surgen del núcleo de la operación y susfactores son los procesos, la información, los recursos y latecnología, en suma. Su estimación dependerá deinformación base para estimar probables pérdidasesperadas, a partir de modelos que tienen a ser más

complejos, desde niveles cualitativos a bases cuantitativasque requieren la aplicación de bases de datos y modelosanalíticos. En todo caso, desde el indicador más sencillohasta el más complejo se hace precisa la categorización delos ingresos generados y, de manera particular, laclasificación de su origen por líneas de negocio: tipos debancas, servicios y productos.

La importancia de esta condiciónque impone el riesgooperacional, en el marco deGRC, es que hace imperativonuevos requerimientos sobre laarquitectura de procesos,información, tecnología yrecursos para objetivar yoptimizar los resultados y lagestión del riesgo operacional,intención que debe acompañarseen los proyectos de optimizaciónde procesos o de escalamientode los objetivos estratégicos enel modelo de operación.

Los estándares de gestión de riesgo establecen, entonces,aspectos claves que el proceso debe considerar, entre losque se cita la necesidad de ser parte integral de la gestión,incorporarse en la cultura y las prácticas y adaptarse enlos procesos de negocio de la empresa, para lo cual debeconsiderar fases de establecimiento de contexto, valoracióny tratamiento del riesgo.9  Esta valoración infiere laidentificación, análisis y evaluación del riesgo. Las técnicasmás comunes se refieren a la determinación de las fuentes,áreas y eventos de pérdida, así como sus causas yconsecuencias, que permiten configurar probabilidades de

negocios, daños a activos materiales, incidencias en el negocio y fallos en los

sistemas y ejecución de procesos. Comité de Basilea II. Operational Risk

Management. BIS. Documento consultivo. (2001)9 ISO 31000 – Risk Management. Principles and guidelines. Numeral 5. Págs 16

a 17.

“La gestión del riesgooperacional requiereintegración con las líneasde negocios, procesos,productos, información,tecnología y recursosinvolucrados.” 

Page 18: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 18/35

 

18Fundamentos de GRC

www.grcenespanol.com 

ocurrencia y niveles de severidad, en categorías y líneas deservicios y productos, como se comentó.

Evaluación de la efectividad del control.  La gestión delriesgo implica advertir, en consecuencia, niveles de

severidad y probabilidad de impactos de pérdidasesperadas, como se muestra en la gráfica siguiente.

La valoración permitirá identificar y establecer la

probabilidad de ocurrencia de un evento de pérdida, dadatodas las posibles frecuencias e impactos de severidad.Esto se hace posible mediante una matriz deprobabilidades que pondera niveles de frecuencia oprobabilidad de ocurrencia, con niveles de severidad oprobabilidad de impacto. La curva explicaría que laspérdidas de alta frecuencia deben representar impactos debaja severidad y por contrario, las pérdidas de bajafrecuencia son las que, seguramente, pueden potenciarimpactos de gran severidad, en coherencia, justamente conla cola de la distribución.

La matriz, en suma, no es la estimación cualitativa de unevento posible individual, sino la estimación cuantitativa deun conjunto de eventos probables, y esto hace posible lageneración de una curva con un nivel de pérdida esperadahasta la media relativa. En el caso de la curva de ejemploes la línea identificada como EL1. Así mismo, hay un nivelde pérdidas que no sólo exceden el nivel máximo de una

Page 19: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 19/35

 

19Fundamentos de GRC

www.grcenespanol.com 

pérdida esperada, sino también representan pérdidas queexceden la tolerancia y la capacidad de sostenibilidad UL1.

La gestión de riesgos debe aportar elementos detratamiento del riesgo en función de los niveles de pérdidas

esperadas. Esto es, que en una línea de negocio si seexponen puntos de la curva que exceden los niveles detolerancia, será preciso acudir a niveles de capitalización,seguros u operaciones de transferencia de riesgo conderivados. En todos estos casos, deben aplicarse planesde continuidad o contingencia operativa, por cuanto sonriesgos generados por factores externos que están porfuera del control y la gestión corporativa. Así mismo, dentrode la curva de tolerancia, la entidad puede optar por laaplicación de controles que pueden representar unaefectividad operacional, punto que se resolverá adelante,así como circunstancias donde no se hace preciso aplicaracciones de gestión.

La evaluación de la incertidumbre en el marco de GRC,como resumen, requerirá considerar, primero, si se trata deuna desviación de los objetivos estratégicos que obedece afactores externos y puede ser tratada con algún mecanismode cobertura o aseguramiento que requerirá de gestión. Sise trata de factores internos, debe contemplarse el efectoconjunto, a partir del análisis del riesgo operacional.

Las reflexiones en torno a las pérdidas esperadas delriesgo operacional, deben permitir, en igual sentido,establecer si hay riesgos que se generan poracontecimientos externos y pueden estar por fuera de lagestión organizacional, para tratarlos con planes decontinuidad y coberturas. Si hay riesgos que se derivan porfactores internos para la gestión de la empresa, la entidadtiene que establecer, primero, si los costos de laintervención de los controles reducen las pérdidas aniveles aceptables, en un contexto donde las pérdidascontroladas exceden el costo de los controles.

Page 20: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 20/35

 

20Fundamentos de GRC

www.grcenespanol.com 

Por último, si la entidad advierte que la intervención de loscontroles no reducen las pérdidas o éstas pueden serinferiores a los controles, no resulta necesario ni pertinenteaplicar control ninguno, distinto a mantener acciones degestión de monitoreo e información. En el caso del ejemplo,

la idea es que un control implementado tenga la capacidadde trasladar la curva de probabilidad a la izquierda, demanera que tiene la capacidad de reducir el nivel depérdida esperada de EL1 a EL2.

Finalmente, lo que suele ocurrir en las empresas es que seaplican innumerables controles para preservar la disciplina,el comportamiento y la cultura directiva y operacional, perola realidad es que técnicamente no deben llamarsecontroles sino acciones de gestión, por cuanto, nada tieneque ver, como se explicó con circunstancias de mitigación oreducción de riesgos. Esto es, justamente, una perspectivadel riesgo bajo un enfoque integrado de GRC.

Integración con el Control Interno. El control se entiende

como “proceso” que debe aportar una garantía razonablesobre el logro de los objetivos relacionados con lasoperaciones, el reporte y el cumplimiento.10 La razón por lacual se incorpora, en GRC, como un elemento de ladimensión del riesgo se explica porque el marco de control

10 Control Interno – Marco Integrado. Committee of Sponsoring Organizations

of the Treadway Commission. Resumen ejecutivo. Página 3. 2013.

Page 21: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 21/35

 

21Fundamentos de GRC

www.grcenespanol.com 

establece que si bien el sistema es efectivo respecto a laconsecución de los objetivos anotados, agrega que laefectividad se basa en reducir a un nivel aceptable el riegode no alcanzar un objetivo.11 

Los objetivos de las operacioneshacen referencia a la efectividady eficiencia de las operaciones,incluido sus objetivos derentabilidad financiera yoperacional, y la protección delos activos frente a laspérdidas.12  Los riesgosinherentes a este objetivo debenser valorados y gestionados porla dimensión del riesgo,incorporando los controles

operativos necesarios. Así mismo, el objetivo decumplimiento, como su nombre lo indica, se refiere a lagarantía del cumplimiento de las normas. La premisa bajoGRC, en consecuencia, es si se advierten desviaciones deincumplimiento deben ser tratadas como riesgo legal y, enese sentido, estarán, también, bajo la perspectiva de ladimensión del riesgo y control.

Así, los componentes de control que se componen porcinco componentes. El ambiente de control, la evaluaciónde riesgos y las actividades de control, son tres de los cincocomponentes que se refiere al establecimiento decondiciones de gobierno para desarrollar el modelo denegocio y lograr los objetivos, se incorporan en laperspectiva del desempeño basada en principios. Elcomponente de información se refiere, directamente a laperspectiva de la arquitectura de la información, que serelaciona en lo pertinente con los procesos, lasaplicaciones y la tecnología, y en ese sentido deben serobjeto de evaluación de riesgos para establecer loscontroles efectivos.13 

Finalmente, el componente de supervisión y monitoreo serelaciona con las dimensiones de aseguramiento que

11 Control Interno - Marco Integrado. Resumen Ejecutivo. Página 8.

12 Control Interno – Marco Integrado. COSO. Objetivos. Página 3. 2013.

13 COSO. Control Interno. Marco Integrado. Componentes y Principios. Página

6.

“La efectividad del controlinterno se determina por sucapacidad para reducir omitigar los riegosoperacionales”.

Page 22: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 22/35

 

22Fundamentos de GRC

www.grcenespanol.com 

establece la necesidad de considerar, además de laintervención del control, las evaluaciones independientes.

2.3 Cumplimiento: Actuación con Integridad.Cumplimiento de normas obligatorias y de origen

voluntario.  El cumplimiento normativo se refiere a esaobligación de la empresa de garantizar el cumplimiento delas leyes y disposiciones externas, así como las políticas ydirectrices que una empresa adopta para el desarrollo desus operaciones. Es esa una primera consideración. Noobstante, también se incorpora la definición eimplementación de códigos de comportamiento y ética,muchos de los cuales se potencian mediante bases,creencias y comportamientos culturales más queinstructivos que se implementan en el modelo deoperación.

Bajo el cumplimiento debenincorporarse, en suma, todas lasnormas, políticas, directrices einstrucciones que una empresadecide adoptar, bien para operar,fortalecer el desempeño,gestionar el riesgo o aplicarprotocolos de control.

El derrotero del cumplimiento se

establece por niveles deconformidad y si bien, sonobligaciones que se derivan dela certidumbre, no quiere decirque la organización no adviertapotenciales incumplimientos que,de darse, se tratan como

elementos probabilísticos del riesgo legal, y en tal caso seencaran como factores de riesgos: evaluación de laincertidumbre.

 Al ineación de Marcos de Referencia. El cumplimientopuede tener varios marcos de referencia que se refieren ala generación de reportes, trasparencia enrelacionamientos con terceros, operaciones con vinculadosy partes interesadas, regulaciones fiscales, comerciales ylaborales.

“La gestión integral delcumplimiento requiereestablecer niveles deconformidad decumplimiento sobre normas

obligatorias internas yexternas, y alineación conel riesgo legal.”

Page 23: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 23/35

 

23Fundamentos de GRC

www.grcenespanol.com 

De manera particular, el desempeño basado en principiosestablece, además del compromiso adquirido sobre losmarcos obligatorios externos e internos, la necesidad deestablecer mecanismos disciplinarios e intervenciones degestión y control cuando un compromiso no es cumplido,

por alguna razón.El enfoque requiere que para cada marco normativo quedebe ser objeto de cumplimiento se establezcan lasdimensiones básicas y los atributos que deben sercumplidos. Si se toma, por ejemplo, una norma como SOXque impone condiciones de reportes de las empresas queoperan en USA, será preciso definir los tópicos claves quese deben perseguir, para encontrar que aspectos talescomo las responsabilidades de la Junta de Directores, lasrevelaciones de la información, la operación e intervenciónde la Auditoría, las condiciones inherentes a la gestión delfraude y los conflictos de interés, son aspectosprofundamente relevantes que deben hacer   parte de unacalificación de conformidad del cumplimiento.14 

Estas responsabilidades y tareas de cumplimiento debenalinearse, también con elementos y dominios de laarquitectura como son los procesos de generación dereporte, las tecnologías de base transaccional, lasfunciones y responsabilidades inherentes a estos procesosde determinación y presentación de recursos yobligaciones, en función de las necesidades, objetivos ylogros esperados.

14 Ley Sarbanex Oxley. Act of 2002. Estructura y Títulos.

Page 24: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 24/35

 

24Fundamentos de GRC

www.grcenespanol.com 

Perspectiva de la Arquitectura

Empresarial.

3.1 Bases Conceptuales.Concepto. La arquitectura empresarial es otra perspectivafundamental para GRC. La razón es que mientras lasdisciplinas: desempeño, riesgo y cumplimiento configuranel elemento abstracto del GRC, la arquitectura establecelos objetos o elementos tangibles donde se materializan oimplementan. Son varias las definiciones que puedenencontrarse sobre arquitectura empresarial; sin embargo,hay acuerdo en que representa el relacionamiento entre elconjunto de procesos, la organización, datos, sistemas

informáticos, servicios, indicadores, y demás recursosempresariales, que se integran para hacer viable laoperación del modelo de negocio. En otras palabras, laarquitectura empresarial hace posible la integración de laestrategia al modelo de operación.

El modelo de operación se reconoce como el nivelnecesario de la integración y estandarización de losprocesos de negocio para producir los bienes y serviciospara los clientes. Un modelo de operación describe comouna empresa desea prosperar y crecer mediante una

perspectiva más estable y accionable que la estrategia,fundamentada en la ejecución.

Estos dominios, como se entienden en el leguaje de unestándar de arquitectura como TOGAF, se clasifican encuatro tipos de arquitectura: la arquitectura de Negocio, laarquitectura de información y datos, la arquitectura deaplicaciones y la arquitectura de tecnología.

NEGOCIO 

INFORMACIÓN APLICATIVOS 

Funcionalidades

Aplicaciones 

Misión y Visión 

Estrategia

Organización 

Recursos

Procesos 

TECNOLOGÍA

Modelos

Información

Datos 

Representaciones 

Hardware 

Software 

Servidores

Soporte

Page 25: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 25/35

 

25Fundamentos de GRC

www.grcenespanol.com 

La arquitectura de Negocio incorpora la estrategia denegocio, la estructura organizacional y de gobierno y losprocesos clave de la organización. La arquitectura de datose información lo determinan la estructura de datos lógicos yfísicos que posee una organización y sus recursos de

gestión de datos. La arquitectura de aplicaciones sedetermina por las aplicaciones individuales, susinteracciones y relaciones con los procesos de negocioclave. Finalmente, la arquitectura de la tecnología son lascapacidades de software y hardware que se requieren paraapoyar la implementación de servicios de negocio,información y aplicaciones.15 

Las arquitecturas son secuenciales, de manera que laarquitectura de negocio es un prerrequisito de los otrosdominios de arquitectura. En igual sentido, la arquitecturade información es un paso fundamental para el desarrollode las aplicaciones y de la tecnología.

3.2 Arquitectura del Negocio. Al ineación del desempeño basado en principios con la Arquitectura del negocio . Implementar los requerimientosdel desempeño, como se mostró, para el logro de losobjetivos, exige la precisión de la intención en objetivo, laconfiguración de la estructura organizacional y la alienacióncon los procesos para el establecimiento de metas tácticasen líneas de negocios, áreas, productos y geografías.

Si bien la estrategia de negociodefine que se debe lograr – losobjetivos, las metas eindicadores, así como lasmétricas de logro y seguimiento,no está en capacidad deestablecer cómo lograrlo, con larigurosidad de un modelo deoperación, y es ese, justamente,el rol de la arquitectura de

negocio.

La arquitectura de negocioestablece, en consecuencia, los

requerimientos de funciones, asociadas con las actividadesdel negocio, la información que debe usada e

15 TOGAF. Estándar The Open Group. Versión 9.1. Numeral 1.4. Página 24.

“La arquitectura empresarial

representa el relacionamientoentre el conjunto de procesos, laorganización, la información, lasaplicaciones y tecnología que seintegran para hacer viable el

modelo de negocio”

Page 26: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 26/35

 

26Fundamentos de GRC

www.grcenespanol.com 

intercambiada entre actividades para responder a losrequerimientos de los indicadores y metas, así como losaspectos de insumos, controles, r esultados y recursosusados para la gestión del proceso.16 

Se requerirá, entonces, de una gestión por procesos paraque cumplan con su objetivo de transformación y de apoyoa la estrategia - BPM. La presión sobre los procesos en el

marco de un enfoque integrado de GRC requiere, también,la incorporación de eventos de riesgo operacional,controles cuando se requiere, al igual que reglas oactividades para dar cumplimiento a instructivosnormativos.

Se acoge así, en la base de procesos, consideracionesclave del desempeño, riesgo, control y cumplimiento,siendo esta la razón por la cual, la arquitectura de losprocesos requiere de adecuados niveles de madurez entérminos de su estructura, diseño, métricas,  apoyo a la

operación y alineación organizativa y funcional.17 

16 TOGAF. Framework. Numeral 8.2.3. Pag. 95.

17  Niveles de madurez de procesos son el Process and Enterprise Maturity

Model (PEMM™) de Michael Hammer y el de la Sofware Engineering

Institute llamado Capability Maturity Model.

DESEMPEÑO 

RIESGO Y

CONTROLCUMPLIMIENTO 

NEGOCIO 

INFORMACIÓN

APLICATIVOS 

TECNOLOGÍA

Page 27: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 27/35

 

27Fundamentos de GRC

www.grcenespanol.com 

3.3 Arquitectura de información, Aplicaciones y

Tecnología.Integración de la arquitectura de negocio con dominiosde información, aplicaciones y tecnología. Teniendoclaro la arquitectura de negocios de manera que se conoce

que áreas de la organización, líneas de negocio, funcionesy procesos intervenir para el logro del desempeño basadoen principios, así como la información y datos necesariospara perseguir las métricas y reportes necesarios, tomalugar la arquitectura de aplicaciones para identificar ydefinir lar principales aplicaciones que pueden serrequeridas para procesar los datos y soportar el modelo denegocios.18 

El esfuerzo del dominio de arquitectura de aplicaciones nose relaciona con el diseño de las tecnologías, por cuanto no

son propiamente sistemas computarizados sino funcioneslógicas que resuelven requerimientos del negocio.Finalmente, la arquitectura de la tecnología busca mapearlos componentes de las aplicaciones, representados ensoftware o hardware para establecer que se debe adquirir odesarrollar en plataformas de tecnología, de suer te  quedefine la realización física de soluciones funcionales.19 

18 The Open Group Architecture Forum. TOGAF. Framework. Numeral 11.1

Pag. 127.19

 TOGAF. Framework. Numeral 12.1. Pag. 137.

Page 28: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 28/35

 

28Fundamentos de GRC

www.grcenespanol.com 

Perspectiva del Enfoque de

 Aseguramiento.

4.1 Bases Conceptuales.Concepto. El enfoque del aseguramiento resulta clave, enadición a las perspectivas vistas, para hacer posible que laalineación e integración requerida del desempeño basadaen principios que se implementa en la arquitecturaempresarial, cumpla las condiciones requeridas de separarlas funciones de gobierno y gestión, y éstas a su vez, esténaseguradas bajo criterios de independencia.

4.2 Gobierno y Gestión.

Hablar de Gobierno no se limita al Gobierno Corporativo.En otras palabras, de una corporación - Conjunto deempresas controladas- es viable aplicar el término decontrol, pero el término de Gobierno se aplica también asus partes, e incluso a todos y cada uno de loscomponentes de las perspectivas vistas. De otra forma, elgobierno corporativo que  se conoce, a partir de variosprincipios y estándares20, entre ellos los emitidos porOCDE, son, en efecto, intervenciones del Gobierno, pero

no es la única presencia en la organización por cuanto biense puede hablar del gobierno del riesgo, gobierno de losprocesos o gobierno de la tecnología, como bien seincorpora en otras prácticas.

20 Organización para la Cooperación y Desarrollo Económico- OCDE. Principios

de Gobierno Corporativo.2004.

GOBIERNO  GESTIÓN ASEGURAMIENTO 

Auditoría Interna

Auditoría Externa

Gestión de Calidad

Gestióm Directiva

Gestión Operativa

Gobierno Corporativo 

Gobierno de Arquitectura

Empresarial

Page 29: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 29/35

 

29Fundamentos de GRC

www.grcenespanol.com 

El Gobierno puede interpretarse como el acto de dirigir,controlar, evaluar y supervisar, de manera externa, unaentidad, proceso, recurso, información o proyecto. Es unadefinición de carácter general que se aplica para aclararque se trata de ese acto de orientar y supervisar pero no

administra. De ahí, la reflexión de intervención externa.Ahora bien, hablar degobierno exige hablar degestión. La gestión es laconsecuencia de un acto degobierno, por tanto se centraráen la ejecución y el logro delos objetivos trazados. Lagestión se reconoce así, comoel acto de dirigir, controlar,evaluar y supervisar, demanera interna, una entidad,proceso, recurso, informacióno proyecto. Esto quiere decirque el que gobierna traza laorientación, identifica yaprueba una directriz,asignando, de ser preciso, losrecursos necesarios.

La gestión, por su parte, administra los recursos, cumplecon los compromisos y rinde cuentas. La gestión tiene, enefecto, marcos de referencia independientes queestablecen los principios, atributos y grados de madurezque se r equiere para optimización y garantía de niveles decalidad21.

Es fundamental en GRC, por decir lo menos, garantizar laseparación de las funciones de gobierno y de gestión.

4.3 Aseguramiento.La integridad del gobierno, la gestión y el control requiere

de aseguramiento. Este aseguramiento es un acto deevaluación objetiva de un proceso, recurso, entidad,información o proyecto. El aseguramiento es una prenda degarantía para el acto de gobierno, de retroalimentaciónpara el acto de gestión y de apoyo para el acto de control.Así, se reconoce como una evaluación objetiva e

21 Norma ISO 9001.

“El Gobierno es unaintervención externa dedirección, evaluación ycontrol, al paso que la

Gestión es una intervencióninterna y el Aseguramientouna intervenciónindependiente”.

Page 30: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 30/35

 

30Fundamentos de GRC

www.grcenespanol.com 

independiente. El aseguramiento puede ser ejecutado porlos auditores mediante evaluaciones independientes, perose centra es en un pronunciamiento independiente sobrelos resultados frente a criterios definidos, aplicado criteriosy estándares objetivos.

El modelo de las tres líneas de defensa22  es un elementoclave para distinguir como se integra el aseguramiento. Lafilosofía es que la empresa gobierna sus políticas mediante

estrategias que se implementan y gestionan en laarquitectura empresarial – modelo de operación-, lo cualrequiere considerar los riesgos asumidos y advertir losmarcos normativos, internos y externos, que deben serobjeto de cumplimiento. Sin embargo, es importantedefinir, en este contexto, cómo se relacionan los actos degestión y de control, de manera que no impliqueredundancias en las salvaguardas y más aún, comointerviene la auditoría interna, de manera que agregue valory no termine aplicando acciones ajenas a la integraciónrequerida por GRC.

La primera línea de defensa se reconoce en este modelocomo la gestión operativa, La gestión operativa, en unmarco de GRC, es una parte de la función de gestión quese relaciona con la gestión del control y tiene que ver con laimplementación de las políticas y procedimientos que sean

22 IIA Declaración de Posición. Las Tres líneas de defensa para una efectiva

gestión de riesgos y control. THEIIA. (2013)

G

O

E

R

N

DESEMPEÑO 

RIESGO Y

CONTROLCUMPLIMIENTO

 

NEGOCIO 

INFORMACIÓN

APLICATIVOS 

TECNOLOGÍA

G

E

S

I

Ó

E

G

U

R

AM

E

N

T

G

O

E

R

N

G

E

S

I

Ó

E

G

U

R

AM

E

N

T

G

O

E

R

N

G

E

S

I

Ó

E

G

U

R

AM

E

N

T

Page 31: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 31/35

 

31Fundamentos de GRC

www.grcenespanol.com 

requeridos, por efectividad como se vio, para detectar omitigar los riesgos. Esto quiere significar que, en términosoperativos tendrán el deben de establecer e informartambién sobre exposiciones operativas de riesgo en losprocesos, información y tecnología.

La segunda línea de defensa se refiere al gobierno ygestión –directiva- del riesgo, el cumplimiento y el control,para orientar y facilitar la implementación de prácticasefectivas por la operación. Bajo esta línea se potencia laadministración de las políticas de riesgo, la definición de losroles y funciones requeridos, la efectividad de los controlesy eficacia del cumplimiento normativo.

La tercera línea de defensa sereconoce como la auditoríainterna y, es unamanifestación delaseguramiento independiente.La auditoría interna conformecon sus estándares debecumplir con responsabilidadesde la eficiencia y efectividadde las operaciones,

salvaguarda de activos, confiabilidad  de los procesos dereporte y cumplimiento de las normas.23 

Cabe advertir que, en el marco de GRC, el aseguramientotambién se brinda por los auditores externos, quienestienen, por supuesto, claras responsabilidades reguladaspara el aseguramiento de los reportes externos, tarea queen igualdad de condiciones funcionales aporta valor enmateria del gobierno y la gestión de las transacciones,procesos y generación de reportes financieros.

23 Estándares Internacionales de Auditoría Interna. Normas sobre Desempeño.

Numeral 2100. Página 13. 2012

“La Auditoría Interna es latercera línea de defensaque hace parte delaseguramiento.”

Page 32: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 32/35

 

32Fundamentos de GRC

www.grcenespanol.com 

Perspectiva del Alcance

Organizacional.

5.1 Bases Conceptuales.Concepto. El alcance organizacional pretende precisar queun proyecto de GRC puede ser acometido desde lacorporación, de suerte que se orienta al Gobierno, lagestión y aseguramiento de un grupo de empresas, perotambién para una entidad, área departamento o proyecto, opara alguna de las dimensiones, componentes yperspectivas.

Esto quiere decir, que si el

alcance es a nivel corporativopara atender requerimientosdel gobierno “corporativo”, seesperaría que los demáscomponentes delaseguramiento: gestión yaseguramiento, así como delos componentes de lasperspectivas del desempeñobasado en principios:desempeño, riesgo y

cumplimiento, y de loscomponentes de laarquitectura empresarial:negocio, información,aplicaciones y tecnología,deben ser tratados, también anivel corporativo.

5.2 Proyectos de GRC.Desde la perspectiva práctica, el enfoque de un proyectode GRC, puede ser acometido para:

a. Una entidad, área o departamento.b. Una dimensión o componente de la perspectiva de

arquitectura empresarial: la estrategia, los procesos, lainformación, aplicación o tecnología.

c. Una dimensión o componente de la perspectiva deldesempeño basado en principios: desempeño, riesgo,control o cumplimiento.

“El Alcance Organizacionalimplica que un Proyecto deGRC puede aplicarse anivel de la Corporación, laEntidad, un Departamento,un Área, un proceso, o una

Función: Desempeño,Riesgo, Control oCumplimiento.”

Page 33: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 33/35

 

33Fundamentos de GRC

www.grcenespanol.com 

d. Una dimensión o componente de la perspectiva delenfoque de aseguramiento: gobierno, gestión oaseguramiento.

e. Una combinación de dimensiones o componentes devarias perspectivas. Esto es: Gobierno del Riesgo;

Gobierno de la Tecnología; Gestión del cumplimiento;Aseguramiento del desempeño; Gestión del control delos procesos; Gestión del cumplimiento de reportes einformación.

La organización debe establecer niveles de madurez paraestablecer, desde el punto de vista crítico, cuáles y en quéorden pueden ejecutarse proyectos que tengan lacapacidad de agregar valor, en condiciones de costo,beneficio e impacto.

Page 34: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 34/35

 

34Fundamentos de GRC

www.grcenespanol.com 

Conclusiones.

GRC más que un acrónimo que significa Gobierno, Riesgoy Cumplimiento es la capacidad de una organización paragobernar, gestionar y asegurar el desempeño basado enprincipios, a partir de la optimización de los dominios de laarquitectura empresarial, ejecutada con base encircunstancias de mejoramiento continuo para el logro deadecuados niveles de madurez.

El desempeño basado enprincipios es un concepto queimplica el logro de objetivosconfiables, abordando laincertidumbre y actuando conintegridad. Así mismo, losdominios de la arquitecturaempresarial son el negocio:estrategia, organización yprocesos, la información,aplicaciones y tecnología.

“GRC es la capacidad degobernar, gestionar y

asegurar el desempeño,riesgo, control ycumplimiento en losdominios de la arquitecturaempresarial”.

Page 35: Libro Fundamentos de GRC

7/23/2019 Libro Fundamentos de GRC

http://slidepdf.com/reader/full/libro-fundamentos-de-grc 35/35

 

Bibliografía

OCEG. Open Compliance and ethics Group. Red Book. Modelo de Capacidad.

www.OCEG. ORG. (2012)

BSCI. The Balanced Scorecard Institute. The strategic Management Maturity

Model. (2010).

BIS. Bank for International Settlements. Financial Stability Institute. “An

Operational RIsk – An Introduction. www.fsiconnnet.org. (2005).

RIMS. Risk and Insurance Management Society. Risk Maturity Model for

Enterprise Risk Management. www.RIMS.org. (2014).

BIS. Bank for International Settlements. Operational Risk Management.

Documento consultivo. (2001)

ISO. International Organization for Standardization. ISO 31000. Risk

Management. Principles and guidelines. (2014).

ISO. International Organization for Standardization. Nueva ISO 9001. Gestión

de Calidad. (2015).

COSO. Committee of Sponsoring Organizations of the Treadway Commission.

Resumen ejecutivo. Marco Integrado. (2013).

Sarbanex Oxley. Act of 2002. Estructura y Títulos.

TOGAF. The Open Group Architecture Forum. Framework. Versión 9.1.

(2009).

OCDE. Organización para la Cooperación y Desarrollo Económico- OCDE.

Principios de Gobierno Corporativo. (2004).

THEIIA. Instituto Internacional de Auditores. A Declaración de Posición. Las

Tres líneas de defensa para una efectiva gestión de riesgos y control. (2013)

THEIIA. Instituto Internacional de Auditores. Estándares Internacionales de

Auditoría Interna. (2012).