Sigo siempre con interés las actividades formativas de ISACA que, además, te ayudan a mantener en vigor la certificación CISA que tanto ha costado obtener.

Una de las últimas acciones formativas a las que he asistido tenía por título «Next-Gen GRC: Building a road to GRC maturiy«. El  95% de las actividades formativas son en inglés, pero creo que esto no debería preocupar a los que quieran interesarse por estos temas.

GRC: qué significa

Empecemos por aclarar acrónimos (que no voy a traducir):

GRC está por Governance, Risk Management y Compliance. Si has llegado hasta aquí, es muy posible que no necesites que te especifique el signidicado de cada término, pero nunca está demás, traduciendo libremente estos términos desde el glosario de ISACA.

Governance: una tarea que pertenece a la Alta Dirección, a través de la cual ésta coordina las necesidades de los interesados (socios, trabajadores, clientes; pero también proveedores, sociedad e instituciones), fijando las opciones y condiciones para el cumplimiento de los intereses de la empresa (o de la institución pública). Además, esta tarea implica el establecimiento de la dirección de la entidad, a través de la definición de las prioridades y de los mecanismos de toma de decisiones. Siendo el Governance una tarea de la Alta Dirección es evidente que implique también la monitorización de las actividades empresariales/institucionales y el control de las actividades de Compliance (o cumplimiento normativo, para los no anglófilos).

Risk Management: también tarea de la Alta Dirección. Aquí deberíamos analizar los riesgos a los que está expuesta la entidad (pública o privada);  evaluando el impacto que podrían producir la materialización de los riesgos identificados, así como las probabilidades reales de verificación de estos riesgos. El Risk Management, además, implica el desarrollo de estrategiaas para el tratamiento de los riesgos identificados (eliminarlos, evitarlos, disminuirlos, transferirlos y, en última instancia, asumirlos).

Compliance: cumplimiento de las obligaciones legales, incluyendo regulaciones sectoriales, así como los compromisos contractuales asumidos.

Hasta aquí, nada nuevo bajo el sol. Pero en la mencionada presentación hay un interesante cuadro que muestra el modelo de madurez del GRC. Y ahí me he acordado de mi propia experiencia profesional.

El modelo de madurez del GRC

Sin el consentimiento de los autores (espero que no se lo tomen a mal: C. Miller, D.R. Kelley, D. Newell, P. Potter) publico este interesante modelo.

GRC_Maturity_Model

Ya sé, está un poco desenfocado, pero con un poco de esfuerzo se entiende.

Esta diapositiva me ha recordado la frustración del Auditor de Seguridad, cuando, en el desarrollo de su trabajo, no encuentra el compromiso de la Alta Dirección.

En mi experiencia, es muy difícil pasar de la fase inicial, sin el apoyo del Jefe/Jefa. En esta fase, todo se concentra en el Compliance y te ves tú, yendo de departamento a departamento, para ver cómo están las cosas. Como bien indica la diapositiva, en esta fase, los procesos están aislados («cada uno va a lo suyo«) del conjunto de los procesos de la entidad. Es como si las preocupaciones de, p.e., el área de Recursos Humanos, no interesaran (mejor dicho: no afectaran) al área de Sistemas.

El resultado es, necesariamente, una serie de reportes sin conexión entre ellos. Consecuencia de esta desconexión, también los remedios propuestos (cuando los hay) son de escasa o nula eficacia.

¿Por qué llegamos a estos resultados?

En dos palabras: Management Committmen. En cristiano, (ausencia) del Compromiso por parte de la Dirección que baja, después, a los escalones inferiores de la entidad.

Todo es Compliance y nada más que Compliance. De hecho, te dicen: «Quiero que me digas qué cumplo y qué no cumplo, no que me digas cómo llevar mi entidad«. Como si ese fuera el papel del Auditor… Lo que no entiende este tipo de directivos es que sólo con el Compliance te quedas en el primer paso y nunca llegarás a la última fase, la de optimización de los procesos que, a su vez, permiten nuevas oportunidades de negocio.

Allá ellos…