Víctor Cortés. Fundador de B-GRC
*GRC: Governance, Risk & Compliance
El segundo tip, según el artículo “18 Tips para un buen Modelo GRC” (*), es definir los roles y responsabilidades de cada persona, equipo y/o comité directivo.
Primero que todo, lo recomendado es identificar los roles externos que actúan de marco global de control y cumplimiento para la organización. Dentro de éstos, algunos roles transversales a diversas industrias son los siguientes:
- Fiscalizador: Rol asignado a entes reguladores y fiscalizadores.
- Certificador: Rol asignado a entes que certifican componentes específicos del modelo GRC.
- Auditor Externo: Rol asignado a entes que dan una opinión razonable según normas internacionales.
- Asesores: Rol asignado a especialistas que apoyan materias específicas del modelo GRC.
Identificados los roles externos que inciden en el modelo GRC, se deben establecer todos aquellos roles que le darán vida al modelo GRC al interior de la organización.
Lo recomendado es contar con al menos los siguientes roles internos, independiente de si una persona ocupa uno o más de estos, según al nivel de madurez y cultura de cada entidad.
- Directorio: Rol asignado a los representantes de los accionistas de la entidad.
- Comités del Directorio: Rol asignado a un grupo de directores responsables en materias GRC.
- Auditor Interno: Rol asignado al equipo interno de auditores de la organización.
- Gerencia General: Rol asignado al responsable de alta administración de la entidad.
- Gerencia de Riesgo: Rol asignado al equipo que gestiona riesgos transversales de la organización.
- Gerencia de Cumplimiento: Rol asignado al equipo que lidera riesgos específicos de cumplimiento corporativo.
- Dueños de Organización: Rol asignado a los líderes de las unidades de negocio, gerencias y/o de áreas.
- Dueños de Proceso: Rol asignado a los líderes de macroprocesos, procesos, subprocesos y actividades.
- Dueños de Riesgos: Rol asignado a dueños de riesgos específicos según la complejidad del modelo.
- Dueños de Controles: Rol asignado a los dueños de las actividades de control que mitigan los riesgos.
Si bien la identificación de roles externos y establecer roles internos, parece ser una actividad lógica y de sentido común según el nivel de madurez de cada organización, la verdadera dificultad se presenta cuando se deben establecer las responsabilidades en detalle que debe tener cada rol y, más aún, cuando se espera que cada persona se haga cargo no solo de su trabajo específico, lo que se traduce como isla o silo, sino que se haga responsable del inicio, el proceso y el término exitoso en su conjunto, teniendo el “accountability” de todo el proceso. Esto último, en mi opinión, es lo más crítico y desafiante de lograr en una adecuada estructura de Roles y Responsabilidades de un Modelo GRC.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario