Inicio
 > Informes e investigaciones > Blog de TEC > Gobernabilidad, gestión de riesgo y cumplimiento...

Gobernabilidad, gestión de riesgo y cumplimiento por procesos

Escrito por: Predrag Jakovljevic
Publicado: marzo 14 2007

Cuestión de procesos

No cabe duda de que la gran cantidad de reglamentos que se están creando a nivel mundial y que se están transformando en enfoques manuales estrictos que pretenden controlar las actividades, están resultando ser una situación insostenible. Los usuarios pueden incluir en los procesos de negocios de sus empresas un conjunto racionalizado de controles automatizados que les permita ir dejando de lado las actividades de control manual que consumen una enorme cantidad de recursos para tratar los riesgos que son críticos para el negocio. Si bien la idea es asegurarse de que todas las empresas cumplen con los mandatos normativos en el menor tiempo posible e incurriendo en los costos más bajos, al mismo tiempo que optimizan su eficacia, el cumplimiento seguirá siendo durante mucho tiempo un asunto que implique una mezcla de autómata y gente.

El equilibrio perfecto de procesos automatizados que usan registros en papel y que implican una interacción tanto humana como manual, permite verificar los costos mediante un conjunto flexible pero controlado de procedimientos. Cada uno de estos extremos tiene un costo y características particulares. Por un lado, las computadoras son una gran herramienta para manejar las tareas repetitivas y organizar, almacenar y buscar documentos estándar. Por el otro, la gente es un recurso extremadamente eficaz para manejar las excepciones (consulte el white paper de Olin Thompson, FDA Compliance for the Life Sciences).

En todas las empresas, la evaluación de las características de factores como las operaciones y los productos, revelará que hay una combinación de circunstancias estándar y excepcionales. Los sistemas informáticos que tengan los procedimientos más eficaces serán de gran ayuda en las operaciones repetitivas. Al mismo tiempo, las computadoras pueden integrar los enfoques manual y semimanual en las excepciones, que deben capturarse digitalmente para facilitar el almacenamiento y la búsqueda de documentos cuando sea posible (consulte el white paper de Olin Thompson, FDA Compliance for the Life Sciences).

Los sistemas de tecnología de la información (TI) pueden reducir el costo relacionado con los empleados y generar su propio costo, pero deben equilibrarse con respecto a la gente si se quiere obtener el nivel correcto de cumplimiento a un costo adecuado. No hay que olvidar que el cumplimiento no es cuestión de computadoras, sino de procesos que las incluyen junto con otros elementos. Por lo general, las pequeñas y medianas empresas (PYME) logran un equilibrio entre gente y sistemas ya que aprovechan la automatización para manejar las situaciones normales y repetitivas, y dejan que la gente se encargue de las variaciones (consulte el white paper de Olin Thompson, FDA Compliance for the Life Sciences). Kiran Garimella explica bien este sistema en su libro The Power of Process: Unleashing the Source of Competitive Advantage (Meghan-Kiffer Press, 2006).

...aunque por lo general, el software de gestión de procesos de negocios (BPM) proporciona el ADN y las sustancias químicas necesarios para dar vida a los procesos, la arquitectura orientada a los servicios (SOA) es el esqueleto que permite que esta forma de vida se mueva y funcione. El lenguaje extensible de marcas (XML) puede compararse con el sistema nervioso, que funciona como medio y protocolo de comunicación. Para ampliar un poco esta analogía, así como el ARN transmite los mensajes y traduce el código genético en proteínas, la arquitectura controlada por modelos (MDA) es una forma de tecnología neutral que convierte la arquitectura de BPM en diseños prácticos. La supervisión de las actividades de negocios (BAM) representa un ciclo de retroalimentación, el principio de dolor y placer y el profundo mecanismo de control que mantiene la homeostasis y la agilidad de esta forma de vida en un ambiente que cambia constantemente.

Si desea obtener mayor información sobre las ideas expuestas, consulte Understanding SOA, Web Services, BPM, BPEL, and More, La relación entre la creación de modelos y la agilidad después de la implementación en la empresa y Business Activity Monitoring—Watching the Store for You.

Las ventajas de la GRC por procesos

El punto es que el surgimiento de los conceptos tecnológicos anteriores no es la solución infalible, pero al menos permite tratar la capacidad de control y el cumplimiento normativo en una forma más estratégica (que se inicia en los niveles altos de la jerarquía empresarial), en lugar de tratarlo como reacciones a las amenazas normativas del día. Así, BPM debe ser capaz de facilitar la gestión de los riesgos en la empresa (identificar, supervisar y manejar todas las variedades de riesgos) mediante herramientas y un esquema que promueva y mantenga el conocimiento de los procesos de negocios. Por lo tanto, una aplicación de control orientada a los procesos debe sentar las bases para la adopción de un enfoque en los riesgos, que permita establecer el ambiente de control del usuario e identificar los controles más eficaces y eficientes. Dicha aplicación debe integrarse directamente con la documentación de control que se encuentra en el repositorio de gobernabilidad, gestión de riesgo y cumplimiento (GRC). Mediante esta integración, la empresa usuaria podrá centralizar la gestión del control y eliminar la necesidad de integrar las distintas herramientas de documentación, pruebas, soluciones y supervisión continua del mismo.

Si desea conocer más sobre GRC, consulte la serie siguiente:

Cumplirás con los reglamentos, La ley Sarbanes-Oxley y la gestión de la cadena de suministro, La punta del iceberg, Reglamentos y más reglamentos, Reglamentos ambientales para las industrias electrónica, química y petrolera, Software de gobernabilidad, gestión de riesgo y cumplimiento y su relación con el comercio mundial y Cómo definir y manejar la gobernabilidad, la gestión de riesgos y el cumplimiento.

Como se trató en SAP Solutions for Governance, Risk and Compliance, la GRC por procesos permitirá que las empresas lleven a cabo actividades como las siguientes:

  • cuantificar la exposición financiera que se da por las excepciones de control, para asignar las prioridades necesarias a la implementación de recursos

  • implementar mecanismos de vigilancia de los riesgos clave, combinados con supervisión automatizada del control, pruebas manuales de los controles y autoevaluaciones

  • supervisar las configuraciones y las transacciones críticas de los procesos de “aprovisionamiento hasta pago”, “pedido hasta liquidación” y “conciliación hasta generación de reportes”, de ser posible con pruebas de control automatizadas y obtenidas previamente

  • garantizar la conformidad con la Sección 404 de la ley Sarbanes-Oxley (SOX)

  • implementar una gobernabilidad y una alineación eficaces de TI con las normas COBIT (Objetivos de control para información y tecnologías relacionadas).

  • implementar pruebas de control automatizadas y constantes en varias organizaciones y unidades de negocios, con el fin de reducir la cantidad de controles que deben mantenerse (las pruebas de control se pueden realizar usando criterios tales como identificadores de cliente y proveedor, códigos empresariales y cuentas financieras para aumentar la precisión)

  • enviar las pruebas manuales de control automáticamente al personal adecuado

  • guiar a los encargados de las pruebas de control con procedimientos manuales que están explicados claramente y -de vez en cuando- usando plantillas de hojas de cálculo aprobadas para llevar a cabo las tareas manuales de control, asegurando siempre que se realizan de forma completa y precisa

  • llevar a cabo autoevaluaciones de los controles de las entidades, las revisiones de los diseños y las certificaciones de gestión, como las aprobaciones de la Sección 302 de la ley SOX (esta sección exige que el director general y el director financiero certifiquen cada trimestre la existencia de controles y la veracidad de los estados financieros de la empresa)

  • señalar las violaciones a los controles y dar prioridad a las medidas correctivas mediante un “mapa de calor” o “mapa de riesgo”

  • crear casos de soluciones automáticamente para las excepciones de control que permiten agilizar las soluciones

De esta forma, las empresas pueden obtener una mayor visibilidad de los controles que ejercen sobre sus procesos de negocios, de forma que sus ejecutivos y auditores pueden dar prioridad a las medidas correctivas que tratan el riesgo, para evitar así que se desarrollen debilidades materiales en el esquema de control. Finalmente, las empresas deben poder llevar a cabo simulaciones puntuales que les permitan estimar cuál será el impacto que tendrán los cambios en los mecanismos de control de las aplicaciones, antes de llevarlos a cabo.

 
comments powered by Disqus