GRC integra las áreas de gobierno, gestión de riesgos y cumplimiento para una mejor gestión empresarial. Estas áreas antes separadas ahora se consideran de forma conjunta para identificar riesgos y asegurar el cumplimiento de las normativas. La implementación de una oficina GRC centralizada permite una visión integral que optimiza los costos y facilita el logro de los objetivos de la organización.
Oficina de Gobierno, Gestión de Riesgos y Cumplimiento.
1. ¿Qué es el GRC?
GRC se puede entender como una rama de
la gestión de las organizaciones que permite
integrar las Tecnologías de la Información junto
con los marcos regulatorios y legislativos, en la
estrategia corporativa.
La filosofía de gestión GRC permite realizar
un tratamiento integrado sobre las áreas de
Gobierno (Governance), Gestión de Riesgos
(Risk Management) y Gestión del Cumplimiento
(Compliance).
De este modo estas tres áreas, dentro de la
Organización, dejan de considerarse de forma
separada para integrarse dentro de una única
visión de la gestión empresarial.
Por otro lado, el orden de las siglas GRC no
es aleatorio: el primer paso para obtener una
visión global (y por tanto gestionar los riesgos)
es un buen gobierno; del mismo modo, si no se
cuenta con un adecuado gobierno, ni con una
adecuada gestión de los riesgos, no es factible
gestionar correctamente el cumplimiento.
Los conceptos involucrados tras las siglas GRC se
pueden resumir o definir del siguiente modo:
· Gobierno: Responsabilidad de la Dirección
en la gestión y transparencia organizacional,
garantizando la implantación y adhesión a las
políticas definidas.
· Gestión de Riesgos: Mecanismos de
identificación, análisis y evaluación de las
amenazas que impliquen riesgos para el
logro de los objetivos de la organización, y
planificación y seguimiento de las actividades
o proyectos encaminados a la reducción del
riesgo
· Gestión del Cumplimiento: Mecanismos de
identificación de la legislación y regulación
vigente aplicable y de verificación de su
cumplimiento, considerando tanto normas
externas como internas.
Oficina de Gobierno, Gestión de Riesgos y
Cumplimiento. GRC: La evolución natural
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
De este modo cuando la maquinaria GRC está
bien acoplada se consigue una mayor calidad
de servicios y gestión, facilitando el logro de los
objetivos definidos y optimizando los costes
afrontados.
¿Por qué ir hacia una filosofía GRC?
A medida que las organizaciones crecen en
complejidad y tamaño, resulta más evidente
la importancia de contar con una estructura
adecuada en que cada nivel tome las decisiones
para las que ha sido diseñado.
El buen gobierno permite controlar y mejorar
los niveles de servicio, reducir los riesgos y
mejorar los costes de los Servicios ofrecidos
cumpliendo con el marco regulatorio y legal
aplicable.
Gestionar las tecnologías por un lado, el
cumplimiento por otro y el desarrollo de
políticas de manera desligada de lo anterior
impide la correcta estructuración de una
organización. Es necesario contemplar los
anteriores aspectos de manera integrada y con
visión de conjunto, analizando las implicaciones
Líneas de Actividad
Resiliencia
Organizacional
•Sistema de Gestión
Integrado (SGI)
•Continuidad de Negocio
(SGCN)
•Gestión del Riesgo
•Seguridad Física
•Protección de
Infraestructuras Críticas
(LPIC)
Cumplimiento
Normativo
•Desarrollo del Marco
Normativo
•Modelo Unificado de
Controles (MUC)
•Adecuaciones y
Auditorías regulatorias
/estándares
•Payment Card Industry
(PCI)
•Seguridad en la Nube
Inteligencia y Fraude
•Detección y Prevención
del Fraude
•Vigilancia de
Ciberamenazas
•Data Leak/Loss
Prevention (DLP)
•Vigilancia de Reputación
On-line
Formación y
Concienciación
•Diseño de planes de
Formación y
Concienciación.
•Formación especializada
(Seguridad de la
Información, Contra
Inteligencia, Reputación,
etc..)
GOBIERNO, RIESGO, CUMPLIMIENTO (GRC)
de cada decisión sobre cada uno de los
aspectos que las otras áreas consideran.
La convergencia, tanto horizontal como
vertical, de los aspectos de gobierno,
gestión de riesgos y gestión de cumplimiento
en un único enfoque global permite una
mejor y más eficiente gestión.
¿Cómo integrar Gobierno,
Gestión de Riesgos y Gestión de
Cumplimiento?
Es evidente que no resulta sencillo
implantar este modelo, como ocurre con
cualquier mejora en el ámbito de la gestión
corporativa.
Por ello, resulta recomendable definir una
unidad que se encargue de implementar
GRC a partir de la gestión multidisciplinar
pero de manera centralizada. Es la oficina
GRC, constituida como un centro de
competencia especializado.
2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
La Oficina GRC de SIA. un paso
necesario más en la evolución de la
Organización
Grupo SIA, con su amplio bagaje en
Seguridad de la Información y experiencia
recogida a través de sus más de 20 años
como proveedor de servicios de seguridad,
resulta el compañero ideal para acometer un
proyecto de integración GRC.
La clave del éxito de la oficina GRC pasa
por contar con tres pilares fundamentales:
personas con la competencia, conocimientos
y experiencia adecuadas; metodologías
maduras y probadas; y herramientas que
aporten el soporte adecuado para el logro de
los objetivos marcados
Para SIA, la Oficina de GRC nace como una
herramienta de gestión para la Dirección de TI
con un alto valor estratégico, contando para
ello con un equipo de personas altamente
cualificadas, que poseen además diversas
certificaciones (CISA, CISM, CISSP…).El equipo
técnico de SIA posee un gran conocimiento
adquirido de las metodologías y herramientas
necesarias para conseguir los objetivos
planteados.
Con la amplia experiencia de SIA en normativa
y estándares de seguridad ampliamente
reconocidos y utilizados (ISO 2700X, ITIL,
COBIT v3, BS-25999, BS-25777, PAS-99,
MAGERIT…) junto con amplia experiencia
también en legislación aplicable (LOPD, Ley
11/2007, Esquema Nacional de Seguridad...)
la oficina de GRC podrá orientar la seguridad
contemplando aspectos de negocio y de
innovación, sin dejar por ello de tener
en cuenta aspectos importantes como la
confianza y la implicación en seguridad. Así,
los Servicios de TI proporcionados podrán
evolucionar mediante el control y mejora
continua de su gestión, su seguridad y su
continuidad.
La oficina de GRC implantará además
herramientas que permitan desarrollar todos
los aspectos contenidos en su ámbito de
actuación. Por otro lado la oficina también
se encargará de la gestión de la seguridad, la
continuidad de negocio y los procedimientos
de auditoría interna y control. SIA cuenta
con experiencia en la implantación de
varias plataformas de GRC. Gracias a RSA
Archer, se podrá transformar la información
que actualmente está en papel y/o en
herramientas no colaborativas y/o con menor
grado de automatización, en un programa
EFQM de auditoría dinámico, mejorando su
eficiencia, garantizando las actualizaciones
periódicas y gracias a su flexibilidad y
capacidades de personalización, garantizando
su adecuación a cualquier requerimiento
futuro.
La Oficina de GRC permitirá cumplir dentro
de un alcance definido, los objetivos fijados.
A su vez la oficina estará gestionada de
forma continua, reportando y exponiendo
los resultados del proceso de seguimiento y
revisión a los diferentes comités ejecutivos.
El framework de Archer es una plataforma
que permite crear y modificar aplicaciones,
agrupándolas en soluciones que ayuden a
solventar los requisitos del negocio definidos
dentro del GRC.
Con ello, a través de un modelo de
funcionamiento basado en la mejora
continua, el establecimiento de la oficina de
GRC permitirá disponer de un asesoramiento
continuo, introducir mejoras en la gestión de
la Organización, establecer mecanismos de
control de calidad, cumplimiento y riesgos y
analizar de forma continua la Organización.
En resumen, la implantación de una oficina
de GRC aportará los siguientes beneficios:
- Aumentar los índices de satisfacción, tanto
organizacional como de los clientes.
- La implantación de estándares y buenas
prácticas de gestión y seguridad se podrá
realizar de manera más fácil, práctica y
global.
- Se permitirá la medición y control de los
servicios, diseñando planes de mejora
continua, derivados de las revisiones y
monitorizaciones realizadas.
- La mejor adopción de estándares permitirá
que los procesos de certificación se puedan
abordar de una manera más cómoda
sin perder el foco en los objetivos de la
organización.
- Finalmente la integración de Gobierno,
Riesgo y Cumplimiento permitirá reducir
costes y focalizar esfuerzos de actuación.