Saltar al contenido principal

Planificación y definición del alcance del GRC

Portada » Blog Calidad y Excelencia » Planificación y definición del alcance del GRC
5/5 - (2 votos)

GRC

Puede que muchos miembros de la organización se encuentren familiarizados con GRC (siglas que aluden al Gobierno, Riesgo y Cumplimiento) debido a que es un enfoque que apunta a la transparencia, mejora continua y eficaz toma de decisiones. Pero implementar GRC implica mucho más que el deseo de “poner orden en casa”, exige varios elementos cruciales, el más determinante de ellos reside en la aprobación de la dirección de la organización para la puesta en marcha del GRC. Una definición, análisis detallado y fijación del alcance que este documentado y que sea conocido por las partes interesadas, serán piedra angular de todo el proceso. Para ello es clave contar con el respaldo, compromiso, orientación y guía de Dirección.

Antes de definir el alcance de GRC es necesario que se conozca la situación actual de la organización respecto a su entorno, para ello es necesario:

  • Comprender el contexto externo e interno y las oportunidades de cambio que ofrece el entorno organizacional.
  • Considerar que los cambios de contexto pueden dar lugar a la necesidad de reconsiderar los objetivos. estrategias, evaluaciones de riesgos o acciones y controles definidos.
  • Definir la cultura de la organización en gobernanza, riesgo, fuerza laboral y conducta ética.
  • Comprender las necesidades y requisitos de las diversas partes interesadas.
  • Definir y planificar las relaciones con los grupos de interés.

CTA post Botón Contacto 2

Reciba asesoramiento de un consultor experto de ISOTools sin compromiso

Podríamos afirmar que la definición del alcance es la parte más incipiente de la ejecución de GRC, y que tiene que ver con la planificación, pasa por establecer criterios que orientarán el quehacer organizacional hacia la meta común. Para ello será fundamental:

  • Definir el alcance del GRC y precisar los objetivos de este. El entregable pertinente es el que contiene la descripción de los límites organizacionales, es decir las áreas, departamentos, los puestos, proyectos y las unidades de negocio que implementara el GRC, incluyendo cualquier justificación para partes de la empresa que han sido excluidas del alcance del GRC.
  • Definir el alcance y tecnologías de la información y comunicación (TIC) a utilizar (software y hardware). Para esto es vital la identificación de activos de información y la evaluación del riesgo, y evaluar los mecanismos de seguridad viables; además de la aprobación documentada por parte de la Dirección para implementar el GRC e iniciar el proyecto con los recursos necesarios asignados.
  • Establecer el alcance y los límites físicos. A continuación, resulta útil fijar la jerarquía de la toma de decisiones, así como para la estructura dentro del GRC. Definir responsabilidades, tareas y encargados de procesos.

Una vez documentado el alcance, es vital para el éxito de la implementación que se mantenga una comunicación efectiva a las partes interesadas pertinentes, de manera que estas alineen sus esfuerzos al éxito de este proyecto. Esto nos permite concluir que es relevante incluir a las áreas críticas de la empresa en el alcance y que estas se adapten al uso de una terminología en común que promueva el entendimiento, son de gran utilidad.

Un alcance claro y transparente

El alcance del GRC es el tema que nos ocupa, puesto que una elaboración precisa trazará una pauta de trabajo prudente, sin ambigüedades y capaz de ofrecer orientación a las partes interesadas. Para elaborar tal alcance es necesario:

  • Establecer la relación entre gobierno, riesgos y cumplimiento. Además, los tres conceptos deben ser definidos como un mismo término.
  • Plasmar las características del negocio, contexto, activos y tecnología de la organización.
  • Aclarar las prioridades de la organización para desarrollar un GRC. Si los directivos lo consideran pertinente, es posible que algunas partes de la organización permanezcan fuera del alcance de GRC. Las razones para hacerlo tendrían que ser documentadas.
  • Podemos saber que el alcance de GRC está definido correctamente cuando explicamos los límites a las personas que no estuvieron involucradas en la definición del alcance, y todos logran captar lo dicho sin dificultades.

Responsables y encargados

A lo largo de este texto hemos señalado la relevancia de la Dirección, y es que sus integrantes son quienes tendrán bajo su cargo todas las áreas de responsabilidad involucradas. En el caso que el responsable de la gestión del GRC no sea un miembro de la alta Dirección, es esencial contar con un representante que tenga como propósito preservar y defender el GRC en todos los niveles de la organización.

Más que hablar acerca del alcance y los límites de GRC, se requiere señalarlos con precisión para asegurarse de que todos los elementos pertinentes son tomados en cuenta y para determinar los riesgos y oportunidades que puedan surgir mediante dichos límites, que pueden abarcar al personal involucrado en GRC, dependencias y tareas que deben estar documentadas de forma inequívoca. Además, esto permitirá administrar de forma eficiente los recursos que debe invertir la organización para contar con la capacidad de GRC con plena eficacia.

Otros aspectos a considerar

Puntos no menos relevantes que los citados anteriormente no deben ser descuidados si se desea una puesta en marcha de GRC exitosa, como el establecimiento de objetivos con base en los requerimientos organizacionales y las prioridades de las partes interesadas y el marco de cumplimiento que le facilitará el logro encaminar a la organización a una gestión eficaz y eficiente. Fijar un enfoque general y disponer de una guía de acción para lograr los objetivos de GRC pueden brindar la solidez que la compañía y su gente necesitan. Todo esto, por supuesto, considerando las obligaciones legales o regulatorias y los compromisos adquiridos con los colaboradores y con terceros. Recomendamos ampliamente, además, tomar en cuenta el contexto de la gestión del riesgo dentro de la organización, fijar los criterios de evaluación de los riesgos y definir una estructura de evaluación del riesgo. Los últimos puntos a considerar persiguen: pautar las responsabilidades de la alta Dirección en relación al GRC, obtención de la aprobación de la Dirección y delegar responsabilidad sobre funciones claves.

Cabe desatacar, que la información documentada del alcance se debe mantener, puesta esta se gestionará junto con la medición de los resultados, y le permitirá a la dirección de las organizaciones poder tomar las decisiones pertinentes sobre hacia dónde debe crecer el GRC. Lo que llamamos efecto sombra (como la proyección de la sobra de un árbol en el suelo a lo largo de la tarde), la cual se irá alargando y cubriendo cada vez más áreas, más departamentos, más puestos y más proyectos. Hasta que la organización en pleno adopte este enfoque.

Software GRC

Las organizaciones para su mejora, hacen uso de herramientas tecnológicas como ISOTools para la gestión de Gobierno, Riesgo y Cumplimiento (GRC). 

Con el software GRC de ISOTools, ningún proceso está sin controlar ya que permite identificar y administrar los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.

Además, con ISOTools las organizaciones pueden realizar la gestión del ciclo de vida de los riesgos. Desde el establecimiento de su contexto, su identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.

Nueva llamada a la acción
Software GRC

¿Desea saber más?

Entradas relacionadas

Controles Seguridad De La Información
Con los controles no es suficiente. Sigue necesitando la ISO 27001

Controles ISO 27001 La información es uno de los activos más importantes. Otras personas, empresas y países están…

Ver más