OCEG Red book GRC Capability Model (Spanish) by Orlando Pineda Vallar

DRIV ING PRI NC IPLE D PE RFOR M ANCE

OCEG Red Book ™ GRC Capability Model versión 2.1 Español

El trabajo continuo de OCEG es posible en parte por la generosidad de las siguientes empresas. Únanse en el agradecimiento a estas importantísimas firmas y sus representantes:

Miembros auspiciadores 2012: Miembros titulares

Miembros del consejo de liderazgo:

Equipo de trabajo traducción al español: Esta traducción al español del Red Book ha sido provista por Deloitte Chile. Gracias a todos los que participaron en el proceso de traducción. Sra. Lorena Alvarez – Manager, Deloitte Chile Sr. Manuel Galvez – Senior Manager, Deloitte Chile

Sr. Emerson Bastian, CIA, CISA, GRCP, PMP – Senior Manager, Deloitte Chile Sr. Fernando Gaziano, CIA, CISA – Socio, Deloitte Chile

™ OCEG Red Book GRC Capability Model™ Cómo lograr Principled Performance 1 integrando gobierno corporativo, aseguramiento, gestión del desempeño, riesgo y cumplimiento

Versión 2.1 Principales autores Scott L. Mitchell, Presidente del Directorio Carole Stern Switzer, Abogada, Presidenta

Punto de vista y enfoque del negocio que ayuda a las empresas a lograr sus objetivos de manera confiable, al mismo tiempo de abordar la incertidumbre (riesgo y retorno) y actuar con integridad (respetando las obligaciones regulatorias y los compromisos voluntarios).

©2002 – 2012 OCEG A OCEG Red Book GRC Capability Model de OCEG de Scott L. Mitchell y Carole Stern Switzer se le ha otorgado la Creative Commons Attribution-ShareAlike 3.0 Unported License (licencia genérica de atribución por partes iguales de Creative Commons 3.0). Los permisos más allá del alcance de la presente licencia pueden estar disponibles en http://www.oceg.org/advanced-license-permissions.

La presente licencia permite: • •

Compartir: copiar, distribuir y transmitir la obra. Adaptar la obra.

Siempre y cuando: • •

Atribución: Debe atribuir la obra de la manera especificada por al autor o licenciante (pero no de una forma que sugiera que lo avala a usted o el uso que le dé a la obra). Por partes iguales: Si altera, transforma o se basa en la presente obra, puede distribuir la obra resultante sólo según la misma licencia o una similar a ésta.

Reconocimiento Al atribuir la obra a OCEG: • incluya en el aviso de todo el sitio o documento el texto: “Incluye material copiado o extraído de OCEG en http://www.oceg.org” (incluya un hipervínculo si es posible); y • en el caso de cada uso específico, incluya el texto: “Incluye material copiado o extraído de *título y URI e hipervínculo (si es posible) de la página o documento de OCEG+.” Entendemos que algunas entidades no pueden usar un contenido y código de fuente abierta en sus productos o proyectos. Como tal, también ofrecemos otras licencias que pueden permitirle incluir este contenido en su proyecto o producto. Contáctenos en info@oceg.org para acceder a mayores detalles. “Principled Performance”, “Driving Principled Performance” y “GRC Capability Model” son marcas comerciales de Open Compliance & Ethics Group (OCEG o Grupo Abierto de Cumplimiento y Ética).

AVISO: ÉSTA NO ES UNA ASESORÍA LEGAL NI PROFESIONAL. Se presenta el presente documento, incluidos los anexos, sólo para fines informativos generales. La aplicación de la ley a circunstancias particulares debe abordarse en cada situación en particular. Al preparar y entregar este documento, ni OCEG ni ninguno de sus colaboradores se encuentra contratado para prestar servicios o asesorías legales, tributarias o de otra índole profesional. OCEG y sus colaboradores no sostienen que identifican todas las exigencias de cumplimiento concebibles y controles recomendados. Es responsabilidad de cada entidad comprender qué exigencias legales, contables y de cumplimiento se aplican a sus actividades. Se les aconseja a los usuarios del presente documento buscar asesoría legal específica contactando a miembros de colegios de abogados pertinentes respecto a temas legales específicos. La utilización del documento o alguna parte no crea una relación entre abogado y cliente u otro tipo de relación profesional. Aunque la intención de OCEG y sus colaboradores es entregar contenidos precisos, completos y actualizados, pueden producirse errores u omisiones. Además, Se presenta el presente documento tal como y donde se encuentra. Ni OCEG ni sus colaboradores realizan declaraciones ni establecen garantías respecto a la integridad, precisión u oportunidad de los contenidos, y cada uno renuncia a todas las garantías implícitas (incluidos la comerciabilidad, conveniencia de un fin en particular e incumplimiento) y toda responsabilidad por cualquier pérdida, daño o demanda, ya sea debido a un error, omisión u otra razón. Hasta el máximo grado permitido por la ley, ni OCEG ni los colaboradores (incluidos sus funcionarios, directores, socios, empleados, afiliadas, entidades relacionadas, sucesores y cesionarios) garantiza o certifica la calidad, precisión o integridad de cualquier información que aparezca en el presente documento. Ni OCEG ni sus colaboradores será responsable de daños o costos, incluidos los daños directos, emergentes, incidentales, indirectos, punitivos o especiales (incluida la pérdida de utilidades, datos, negocios o plusvalía mercantil) relativos al uso del presente producto, ya sea o no que la responsabilidad se base en un incumplimiento del contrato, culpa extracontractual, responsabilidad objetiva, incumplimiento de garantía, incumplimiento de un fin esencial o de otra índole, e incluso si a una parte se le informa de la probabilidad de dichos daños. El presente documento o versiones de informes adaptados del mismo pueden contener enlaces a sitios web de terceros. El control de la gran cantidad de información difundida y asequible a través de esos enlaces queda fuera de nuestros recursos y ni OCEG ni los colaboradores tienen la intención de ejercerlo. En este documento se entregan enlaces sólo para la conveniencia y ningún elemento en el presente constituye un respaldo de la información contenida en los sitios web enlazados, ni garantiza su precisión, oportunidad o conveniencia para un fin en particular. OCEG y sus colaboradores renuncian a todas las garantías y responsabilidad de los contenidos de cualquier otra fuente.

TABLA DE CONTENIDOS LIDERAZGO DE RED BOOK ............................................................................................................ 1 Introducción a Principled Performance y GRC............................................................................. 11 La anatomía del GRC Capability Model ....................................................................................... 13 Resultados Universales ........................................................................................................... 14 Componentes ......................................................................................................................... 15 Principios ................................................................................................................................ 17 Prácticas ................................................................................................................................. 17 Subprácticas ........................................................................................................................... 17 Medidas y Controles ............................................................................................................... 17 Materiales de apoyo................................................................................................................... 19 GRC Capability ModelMR versión 2.1 ........................................................................................... 21

LIDERAZGO DE RED BOOK OCEG cuenta con los conocimientos técnicos de un grupo privilegiado de personas y entidades que entregan su conocimiento y asesoría invaluable, a medida que aspiramos a satisfacer las necesidades de conocimientos y recursos de GRC (del inglés gobierno, riesgo y cumplimiento). Únanse en el agradecimiento a estas entidades y sus representantes que han aportado como organizaciones consejeras de liderazgo de OCEG durante las diversas etapas de desarrollo del GRC Capability Model (v.1 y v.2.1), el cual generalmente se denomina el Red Book. Aon

Gevity HR

Qwest

Approva

Global Compliance Services

Raytheon

Archer Daniels Midland

Grant Thornton

RSA

Axentis

Interactive Alchemy

SAI Global

Baker Hughes

Kalorama Partners

SAP

Baker Tilly Colombia

Kraft Foods

SAS

Bwise

Levick Strategic Marketing

Staples

CA, Inc

Littler Mendelson

Sun Microsystems

Cisco Systems

LRN

Temple-Inland

Compliance Initiatives

McAfee

Thomson Reuters

Corporate Integrity

Marsh

Toyota Motor Sales, U.S.A.

Dell

MetricStream

UHY Advisors

Deloitte

Microsoft

Unilever

Dow Chemical Company

OpenPages

U.S. Cellular

Ernst & Young

Oracle

Ventura Foods

EthicsPoint

PETCO

Walmart

Freddie Mac

PricewaterhouseCoopers

XPLANE

Liderazgo de la iniciativa de Red Book 2.0 Un grupo selecto de personas, que representan perspectivas interdisciplinarias, de distintos sectores industriales e internacionales, dedicó un considerable tiempo y aplicó conocimientos técnicos para configurar el OCEG GRC Capability ModelTM (el Red Book). Nos gustaría aprovechar esta oportunidad para agradecer a cada uno de nuestros colaboradores. OCEG aceptó el aporte de cada una de las personas en las siguientes funciones como aportes individuales, y reconoció que sus opiniones y perspectivas puede que no representen las oficiales de las entidades con las que estaban afiliadas en el momento en que entregaron su aporte. Vicepresidentes del Comité Directivo de Red Book 2.0 Sr. Larry Harrington, Contador Público, Auditor Interno Certificado Vicepresidente, Auditoría Interna, Raytheon Company (Comité de Temas Profesionales – IIA, Instituto de Auditores Internos) Sr. Brad Jewett Vicepresidente, Gestión de Riesgo, BMC Software (Ex director, Gestión de Riesgo, Microsoft Corporation) Sr. Scott Roney, Abogado Vicepresidente, Ética y Cumplimiento, Archer Daniels Midland Company Sr. John Steer Socio, Allenbaugh Samini LLP (Vicepresidente, Comisión de Sentencias de EE. UU., 1999-2007) Nos gustaría agradecer a los ejecutivos y personal de OCEG que colaboraron para que fuera posible el Red Book 2.1, en especial: Stephane Legay Jeanna Mitchell Agradecemos todo lo que hacen para apoyar a nuestros asociados y nuestro trabajo. Gracias, Carole y Scott.

Comité Directivo de Red Book 2.0 Los miembros del Comité Directivo asistieron a varias sesiones dedicadas a confeccionar borradores y realizar revisiones, y prepararon en forma individual los comentarios de cada borrador del Red Book durante el proceso de desarrollo. Se les identifica con sus funciones y empresas en el momento en que participaron. Sr. Michael Horowitz – Socio, Cadwalader Wickersham & Taft LLP y Miembro de la Comisión de Sentencias de EE. UU. Sr. Eric Moorehead, Asesor Legal, Comisión de Sentencias de EE. UU. Sr. Richard Steinberg – Gerente General, Steinberg Governance Advisors, Inc. (Autor, Control Interno y Gestión de Riesgo Empresarial de COSO y Exjefe de Dirección Corporativa de PricewaterhouseCoopers) Sr. Carlo di Florio – Socio, Asesoría, PricewaterhouseCoopers Sr. Lee Dittmar – Principal, Deloitte Sr. Randy Nornes – Vicepresidente Ejecutivo, Aon Corporation Sr. Trent Gazzaway – Socio Director de Gobierno Corporativo, Grant Thornton LLP Sr. Norman Comstock, CIA, CISA, CISSP, CSSA, CSOXP – Director General, UHY Advisors TX LLC Sr. Gaurav Kapoor – Gerente de Finanzas y Gerente General, MetricStream Sr. Eugene Fredriksen – Gerente Jefe de Seguridad de la Información, Tyco International Sr. Abdel Krim Hamou-Lhadj, Gerente, Cumplimiento Normativo y Control de Calidad, Cognos Products, IBM Sr. David Heller, Vicepresidente de Riesgo y Gerente de Ética y Cumplimiento, Qwest Communications Sr. Allen Stewart – Director General de Ética, Duke Energy Sra(ita). Nan Stout – Vicepresidenta, Ética Empresarial, Staples

Sr. Kendall Tieck – Director de Auditoría, Business Groups Grupos Empresariales, Microsoft Sra(ita). Shirley Yoshida – Vicepresidenta Superior, Auditoría Interna, Macy’s Inc. Sr. Chet Young – Vicepresidente Divisional de Cumplimiento de Auditoría y Prevención de Pérdidas, Walgreen Co Sr. Brian Chevlin – Asesor Legal General Subrogante, Univeler Sra(ita). Mary Doyle – Ética y Cumplimiento, Intel Corporation Sra(ita). Kathleen Edmond – Jefe Oficial de Ética, Best Buy Sr. Rick Kulevich – Director Senior de Ética y Cumplimiento, CDW Sr. Jay Martin – Vicepresidente de Cumplimiento y Asesor Legal Senior General Subrogante de Rango Mayor, Baker Hughes Sr. Xunlez Nunez – Consultor Empresarial de Ética y Cumplimiento, Baker Hughes Sra(ita). Haydee Olinger – Vicepresidenta de Cumplimiento, MacDonalds Sr. David Gebler – Presidente, Skout Group, LLC Sr. Allan Goldstein – Director General retirado, Asesoría en Riesgo, ARGUS Holdings Ltd. Sr. Steven Helwig – Director de Servicios Profesionales, Compliance Spectrum Sr. David Hess – Director, Auditoría y Controles Internos, Jefferson Wells International, Inc. Sra(ita). Sara A. Liftman – Senior Manager, AABS Advisory Services Servicios

Empresariales de Seguridad y Consultorías, Ernst & Young LLP Sr. Worth MacMurray, Abogado – Directivo Principal, Compliance Initiatives Sr. José Tabuena – Vicepresidente de Integridad y Cumplimiento, Secretario Corporativo, MedicalEdge Healthcare Group, Inc. Sr. Mark S. Beasley – Profesor de Deloitte de Gestión de Riesgo Empresarial y Profesor Director de la Iniciativa de Gestión de Riesgo Empresarial en el Colegio Contable de Administración – Miembro del Directorio de COSO Sr. David B. Crawford, CIA, CCSA– Gerente Emérito de Auditoría, Oficina de Auditoría de Sistemas, The University of Texas System Sr. Ronald Berenbeim – Director de Investigación sobre Ética, The Conference Board Sr. Earnie Broughton – Director Ejecutivo y Coordinador del Programa de Ética, USAA Sr. David Koenig – Ex presidente del Directorio, PRMIA Sra(ita). Melissa Lea – Directora de Cumplimiento Mundial, SAP AG Sr. Paul Liebman – Gerente de Cumplimiento, Dell Corporation Sr. Dave Ferguson – Vicepresidente de Cumplimiento de Operaciones, Wal-Mart Stores, Inc. Sr. Pete Fahrenthold – Director General de Gestión de Riesgo, Continental Airlines Sr. Paul C Palmes – Presidente, Business Standards Architects, Inc. Sra(ita). Xenia Ley Parker – Directora Senior, Marsh & McLennan Cos Sra(ita.) Tian Peng, CIA – Gerente de Auditoría, China National Offshore Oil Corporation Ltd. Sra(ita). Deborah Penza – Vicepresidenta de Cumplimiento Corporativo, Elan Pharmaceuticals, Inc.

Sra(ita). Janet Sheiner, Directora, Ética y Cumplimiento, PETCO Sra(ita). Faye Stallings – Vicepresidenta de Auditoría y Ética, El Paso Corporation Sr. Michael Rasmussen – Presidente, Corporate Integrity Dr. Parveen Gupta, Licenciado en Derecho, Doctor en Filosofía – Profesor de Contabilidad y Presidente de Contabilidad – Lehigh University Prof. Sr. Sanjay Anand – Presidente, Sox Institute, G R C Group Sr. Robert Chastain – Abogado principal, Vicepresidente de Cumplimiento, Oficial de Seguridad, Pepperweed Consulting LLC Sr. Andrew Dahle, CPA, CIA, CISA, CFE, Socio, Asesorías, PricewaterhouseCoopers LLP Sra(ita). Deb Davis – Vicepresidenta Ejecutiva, Great River Compliance & Advisory Services LLC Sr. Kip Ebel, CFE – Senior Manager, Ciencias de la Salud, Investigaciones de Fraude y Servicios de Controversias, Ernst & Young LLP Sra(ita). Andrea McElroy – Directora Senior, Integridad del Sistema de Cumplimiento, Golden Living Sr. Robert N. Merrill, JDDoctor en Derecho – Senior Manager Gerente Superior, Investigación de Fraudes y Servicios de Controversias, Ernst & Young LLP Sr. Tom Wardell – Socio, McKenna Long & Aldridge LLP Sr. F. Richard Ricketts, Doctor en Derecho Director de Finanzas, Workforce Development Council Snohomish County Sra(ita). Carole Basri - Presidenta, The Corporate Lawyering Group LLC Sra(ita). Carole Basri - Presidenta, The Corporate Lawyering Group LLC Sr. Bruce McCuaig – Gerente Jefe de Riesgo y Consultor Principal, Paisley Consulting

Grupo de Trabajo y Grupo de Revisión Los miembros del Grupo de Trabajo asistieron a reuniones de análisis en línea y los colaboradores de dicho grupo y del Grupo de Revisión entregaron su revisión enfocada de los borradores del Red Book 2.0 durante el proceso. Se identifican sus posiciones y empresas al momento de su participación. Miembros del Grupo de Trabajo Sr. Ted Banks – Compliance & Competition Consultants, LLC (ex Gerente de Cumplimiento Mundial, Kraft Foods) Sr. Dinesh O. Bareja – Director del Programa, CSI eSecure, Inc. (Canadá) Sr. Hadi Beski – PM, Hashem Co Sr. Matthew Blake – Analista, Ikobo Sr. Wayne Brody – Gerente de Cumplimiento, Vicepresidente de Asuntos Legales, Arrow Electronics, Inc Sr. Mark Carey – Socio, Deloitte & Touche LLP Sr. Stephen Donovan – Asesor Legal – cumplimiento internacional, International Paper Company Sra(ita). Christine Doyle – Vicepresidenta Senior Directora de Cumplimiento, Bank of America Sr. Rocky Dwyer, PhD, CMA –Principal, Gerente de Servicios de Revisión, National Defence (Canadá) Sra(ita). Catherine Finamore Henry, CIA – Oficial de Ética y Vicepresidenta, Desarrollo de Negocios, SmartPros Legal & Ethics. Ltd. Sr. John Fons,– Consejero, John Fons Solo Practice Sr. Christopher Fox – Directivo Superior, Governance Risk and Compliance, CA Sr. Arnold Galit – Vicepresidente, Riesgo y Cumplimiento, Ikobo, Inc Sr. Jason Garelli –Riesgo Operacional y Sox , Och-Ziff Capital Management

Sr. Joe Grettenberger – Gerente de Soluciones e Integración de Cumplimiento, Quest Software Sr. Eric Hespenheide – Lider Mundial de AERS, –Deloitte & Touche LLP Sr. Eric Hong – Gerente, Consultoría de Seguridad, A3 Security (República de Corea) Sr. Jawaid Iqbal – Analista de Sistemas, Saudi Pan Gulf (Arabia Saudita) Sr. Dennis Irwin, CIA – Gerente de Auditoría Interna, Health Care Practice, Wipfli LLP Sr. Suvendu Samantaray – Consultor Empresarial, Infosys Consulting Sr. William Shenkir, PhD, CPA – Profesor Emérito William Stamps Farish, Escuela de Comercio McIntire, Universidad de Virginia Sr. Ratan Sonti – Ingeniero de Software, SAP Sra(ita). Andrea Spudich, CCEP – Directiva, The Responsible Leader Group Sra(ita). Darla Stanley – Wal-mart Stores, Inc. Sr. Glenn Carleton – Director Nacional de Consultoría, RSM McGladrey Sr. Nick Ciancio – Vicepresidente de Marketing, Global Compliance Sr. Paul Cogswell – Vicepresidente ERC, Comdata Network, Inc. Sr. Brett Curran – Vicepresidente de GRC y Prácticas Normativas, Axentis LLC Sr. Ronald De Boer – Ejecutivo Senior de Ventas GRC, SAP Nederland (Holanda) Sr. Bob Jacobson – Director General de Consultoría Nacional, RSM McGladrey

Sra(ita). Colleen Lyons, MBE, CCEP – Principal, Ethical Stability Sr. John MacKessy – Presidente y Gerente General, Prism Risk Advisors, Inc. Sr. Eamonn Maguire – Director General, PricewaterhouseCoopers LLP Sr. Paul McGreal – Profesor de Derecho, Escuela de Derecho de Southern Illinois University Sr. Ashish Metha – Gerente de TI, BP (Emiratos Árabes Unidos) Sr. Jeffrey Miller – Gerente de Cumplimiento, Synthes Sr. Bruce R. Millman – Accionista, Littler Sr. James O’Keeffe – Gerente de Consultoría, Sycor Americas Sr. Brin Odell – Director – Servicios al Cliente, EthicsPoint Sra(ita). Mary Pruitt – Directora Asociada, de Cumplimiento, Oficina de Ética y Cumplimiento para América, Ernst & Young

Sr. Azwar Ritonga – Ingeniero OSS , TELKOM (Indonesia) Sr. David Mace Roberts – Vicepresidente y Asesor Legal General, Elbit Systems of America LLC Sr. Roy Robinson – Vicepresidente, Educación para las Comunicaciones, Archer Daniels Midland Company Sr. Sayed Sadjady – Socio, PricewaterhouseCoopers LLP Sra(ita). PJ Sullivan – Gerente Técnico Senior– Compliance TI, Sistema de Fletes, FedEx Corporation Sr. Lou Tinto – Gerente de Compromisos, Gestión de Riesgo Tecnológico, Jefferson Wells Sra(ita). Patricia Towers – Senior Manager , Ética y Cumplimiento Mundial, Procter & Gamble Sra(ita). Juven Zeng – Consultora, Smartdot Tech

Miembros del Grupo de Revisión Sr. Daoub Abu-Joudom, MBA, CISA, CISM, Vicepresidente, Jefe de Auditoría de TI, Auditoría Interna del Grupo, Arab Bank (Jordania)

Sr. Brian Barnier – GRC, IBM Corporation Sr. Stephen Baruch, CBCP – Continuidad del Negocio, Gestión de Riesgo Empresarial Sr. Mandar Chitre – Arquitecto de Soluciones, Servicios de Administración de Infraestructura, Patni (India)

Sr. John Adamsons – Coordinador, OMS Sr. Mani Akella – Director, Tecnología, Consultantgurus

Sr. Tom Cleary (Australia)

Sra(ita). Julia Allen – Investigadora Senior, Carnegie Mellon University

Sr. Richard Cohan, FACHE, CHC, CCEP, – Director de Integridad y Cumplimiento y Jefe de Privacidad, Providence Health & Services

Sra(ita). Sam Apps – Gerente de Cumplimiento , Origin Energy Limited (Australia)

Sr. Marco Colonna (Italia) Sr. Brian Conrey, CISA – Gerente de Programas, Controls Integrity LLC

Sr. Toks Azeez – Consultor Empresarial de Cumplimiento, Departamento Legal, Baker Hughes Inc

Sra(ita). Laura Cote – Auditor Senior, Allergan

Sr. Timour Baiazitov –Encargado de Gestión de Riesgo y Control, Severstal (Rusia)

Sr. Doug Cotton – MD Ética Empresarial y Programa de Cumplimiento, American Airlines

Sra(ita). Marion Kerauden Sra(ita). Cary Klafter – Vicepresidenta de Asuntos Legales y Corporativos, Intel Corporation

Sr. Kevin Crimmins – Vicepresidente GC, Software Impressions LLC

Sr. Sam Koh – Gerente Técnico, Vasco (Singapur)

Sr. John Cross – Conferencista, California State University Fullerton

Sr. Alon Kohalny – CAE, Municipalidad de Kadima-Zoran (Israel)

Sra(ita). Yo Delmar, CMC, CISM – Gerente de Marketing, Brabeion Software Corporation

Sr. Richard Levy – Vicepresidente de Ingeniería, Mitratech Holdings, Inc.

Sra(ita). Andrea Dias – Gerente, ICTS Global (Brasil)

Sra(ita). Adlinna Liang – Directora, MetLife

Sr. Patrick Donovan – Gerente de Cumplimiento, Airbus SAS (Francia)

Sr. Peter Liria – Director, Ética y Cumplimiento Mundial, Avaya Inc.

Sr. Rory Douglas – Analista de Ética Sr. Robert Drolet –Profesional Oracle Financials y GRC, OraApps Consulting, Inc.

Sra(ita). Anna Luszpinska – Directora, Departamento de Normas Prudenciales, Bank Zachodni WBK SA (Polonia)

Sr. Tim Elliott – Vicepresidente Senior, Director de Riesgo Operacional, División de Inteligencia Financiera, Comerica Bank

Sra(ita). Judy Pokorny – Directora, Consultoría en Empresas de Servicios Públicos, Huron Consulting

Sra(ita). Sheila Fields – Administración del Conocimientos, HS FIDS

Sr. Tobin Pospisil – Gerente de Finanzas, Gallatin Steel Company

Sr. Matthew Hourin – Senior Manager, Deloitte

Sr. Richard Poworski – ITA, SGI (Canadá) Sra(ita). Monika Rajh Mladenov – Auditora, Corte de Auditoría de la República de Eslovenia (Eslovenia)

Sr. Jörgen Jarleman – Principal, JMC Management Consulting (Suecia) Sr. Anil Jhumkhawala – Director de Cumplimiento, Secure Matrix I Pvt Ltd. (India)

Sr. Bala Ramanan – Consultor Senior, Microland Ltd (India) Sr. Javvadi H Rao, FICWA, ACA, CMA, CFME– Encargado de Gestión de Riesgo, División de Agronegocios, ITC Ltd. (India)

Sr. Jim Jolley – Gerente de Capacitación e Investigaciones, Oficina de Comunicaciones y Desarrollo Profesional, Servicio de Impuestos de Florida

Dr. Peter Reichard – Encargado de Cumplimiento del Grupo, Allianz Risk Transfer (Suiza)

Sra(ita). Christiane Jourdain – Gerente de Proyectos - Planificación Continuidad de Negocio, Sussex HIS, Servicio Nacional de Salud (Reino Unido)

Sra(ita). Kim Rivera – Vicepresidenta, Asesora GC, The Clorox Company Sr. Joel Rogers – Director, Ética y Cumplimiento Corporativo, Kaplan EduNeering

Sr. Julio Rodríguez - Gerente de Cumplimiento, Banco Pastor (España) Sr. Daniel Karrer – E-Loan Inc (Brasil)

Sra(ita). Johanna Rogers – Encargada de Cumplimiento, SunGard

Sr. Indarduth Beejah – Director Adjunto, Control Interno, Gobierno de EE. UU. (Mauricio)

Sr. Peter Rosenzweig – Gerente Senior, Asesorías, Ernst & Young LLP

Sr. José Antonio Rubio Blanco – Universidad Rey Juan Carlos (España)

Sr. Stefano Rossi – Dott, Guidance SRL (Italia)

Sr. Robert Bordynuk – Consultor Senior de Seguridad, Versatile Solutions LLC (Arabia Saudita)

Sra(ita). Mary Roth – Directora Ejecutiva, RIMS (Risk and Insurance Management Society)

Sr. Bruce Buckley – Asesor Legal General, IIR

Sr. Paul Russo – Ingeniero en Sistemas, BAE Systems

Sr. French Caldwell – Vicepresidente – Analista, Gartner, Inc.

Sra(ita). Karen Rutledge – Especialista en Ética y Cumplimiento, PNM Resources, Inc.

Dr. Joseph V. Carcello – Profesor y Director de Investigaciones de Ernst & Young – Centro de Dirección Corporativa, Universidad de Tennessee

Sr. Dan Swanson – Presidente y Gerente General, Dan Swanson & Associates (Canadá)

Sr. Anthony Chalker – Director, Protiviti

Sra(ita). Celia Szelwach – Gerente de Ética y Cumplimiento, PBS&J

Sr. Derek Cherneski – Analista de Continuidad del Negocio y Seguridad, Comisión Federal de Comunicaciones (Canadá)

Sra(ita). Heidi Teresi – Gerente de Cumplimiento, Alcatel-Lucent

Sra(ita). Cyndi Fleming – Directora de Administración de Información y TI, DTSSAB (Canadá)

Sr. Tim Tesluk – Vicepresidente Senior, Greater China Legal & Compliance, DBS Bank (China)

Sr. Russ Gates – Presidente, Dupage Consulting LLC

Sr. Calvin Thompson – Gerente, TSWCCUL (Bahamas)

Sr. Leon Goldman – Jefe de Cumplimiento y Privacidad, Beth Israel Deaconess Medical Center

Sr. Kevin Tisdel – Director de Cumplimiento Corporativo, Shaw Industries Group, Inc. Sr. Dan Twing – Gerente de Operaciones, EMA (Sudáfrica)

Sr. Royd Graham – Contralor Corporativo y Director Superior de Contabilidad, Academy Sports + Outdoors

Sr. Pieter Van Hout, Ing Mba Mbci - Essent Corporation (Holanda)

Sr. Luis Guadarrama – Consultor Senior de Seguridad de Datos (México)

Sr. Surya Vangara – SCSL (Trinidad y Tobago)

Sr. Richard Gudoi Gid’Agui, CIA, , CFM, MSc. Audit (Reino Unido), MBA – Conferencista Senior, Coordinador de Programas de Auditoría Interna, Escuela de Contabilidad, Universidad Witwatersrand (Sudáfrica)

Sr. Kishore Vekaria – Directora, Secure Keys Consulting (Mauricio) Sr. Nitish Verma – Director Sr. Bob Bassetti – Gerente Senior, BearingPoint, Inc.

Sr. Miguel Gutiérrez, CISA, CISM- Director Global de Riesgo y Cumplimiento,

Tecnología de la Información, Brink’s Incorporated

Sra(ita). Alice Peterson – Presidenta, Syrus Global

Sr. Rodrigo Hayvard, Abogado (Chile)

Sra(ita). Diane Pettie – Vicepresidenta, Asesora Legal General, Departamento Legal, Canexus Limited (Canadá)

Sr. Michael Helmantoler – Continuidad del Negocio, Helmantoler.net

Sr. Richard Sanzin – Secretario General Corporativo, Royal Automotive Club of Victoria (RACV) Limited (Australia)Sr. Peter Parmenter – Director, Control Interno, Biomed Realty Trust, Inc.

Sr. Arnold Hill – Jefe de Proyecto, División Edificación de Propiedades – WPC, US General Services Administration Sr. Peter Hillier – Consultor Principal, Hillier Security Services (Canadá)

Sr. Ram Sastry – Director – IT Audits

Sr. David Hoberg – Gerente de Finanzas Corporativas, Voith Paper, Inc.

Sr. James Sehloff – Analista de Seguridad de la Información, Holy Family Memorial

Sr. Andre Macieira – Director, ELO Group (Brasil)

Sr. Bob Semple – PricewaterhouseCoopers LLP (Irlanda)

Prof. Andre Macieira – Profesor Auxiliar, Concordia University

Sr. Jerry Shafran – Gerente General, Compliance Assurance Corporation

Sra(ita). Marjorie A. Maguire-Krupp, CPA, CIA, CFSA – Presidenta, Coastal Empire Consulting

Sr. Ken Shaurette – Gerente de Compromisos, Jefferson Wells Sra(ita). Monica Shilling – Socia, Proskauer Rose LLP

Mr. Jorge Soeiro Marques – Gerente de Riesgo, Lusitania Seguros (Portugal)

Sr. Jay Shinde, Profesor Auxiliar, Eastern Illinois University

Sr. Gabe Mazzarolo – Vicepresidente – Tecnología, Pareto (Canadá) Sra(ita.) Amelia McCarty – Vicepresidenta de Ética y Cumplimiento, Cardinal Health

Sra(ita). Elizabeth Siemens – Asesor Legal Superior, Dirección, Cameco Corporation (Canadá)

Sr. Tlhabano Mmusi – Pasantía de Cumplimiento (Botsuana)

Sr. Samir Singh Sr. Mark Snyderman – Jefe de Ética y Cumplimiento y Asesor Legal, The Coca-Cola Company

Sr. Paul Moxey – Encargado de Gobierno Corporativa y Gestión de Riesgo, ACCA (Colegio de Contadores) (Reino Unido)

Sra(ita). Barbara Stegun Phair – Socia, Abrams Fensterman Fensterman Eisman Greenberg Formato & Einiger, LLP

Sra(ita). Florie Munroe – Vicepresidenta de Cumplimiento, Health Quest Sr. Joe Nadivi – Gerente General, SBS (Israel) Sr. Warren Nelson – Asesor de Riesgo, Servicio de Impuestos (Nueva Zelanda)

Sra(ita). C Karen Stopford – AVP Information Security, The Commerce Insurance Company, Inc.

Sr. Peter Parmenter – Director, Control Interno, Biomed Realty Trust, Inc.

Sr. Geoffrey Storms – Auditor Interno en Jefe, Cameco Corporation (Canadá)

Sr. Dean Wagers – Cumplimiento de la Ley Sarbanes-Oxley, The Kroger Co.

Sr. Chip Weiant – Presidente, American Center for Civic CharacterSr

Sra(ita). Kathy Washenberger – IPSO, Hennepin CountySra

Sra(ita). Mary Karen Wills – Socia, Consultoría, Argy Wiltse & Robinson

Sr. David Wassel – Vicepresidente, Desarrollo de Negocios, ZeroTouchWare

Sra(ita). ChunHua Yang – Estudiante, Southern Illinois University

Sr. Ian Lawrence Webster – Encargado de Gobierno Corporativo, Performance Tecnologies (Brasil)

Sra(ita). Jie Yang, MBA (China) Sr. Gunter Zimm

Introducción a Principled Performance y GRC El clima empresarial de hoy en día es más complejo y difícil que antes. Incluso las empresas pequeñas, las organizaciones sin fines de lucro y los organismos gubernamentales enfrentan problemas que, históricamente, afectaban sólo a las grandes compañías internacionales. Los stakeholders internos y externos no sólo exigen un alto rendimiento, sino que también transparencia en las operaciones comerciales. Los riesgos y exigencias actuales son numerosos, varían constantemente y de manera rápida causando efectos en la entidad. Además, si eso no bastara, los costos de abordarlos quedan fuera de control. En resumen, el statu quo de muchas empresas no es sustentable ni aceptable. Para abordar este problema creciente, muchas entidades han adoptado una visión que apunta hacia el Principled Performance, un punto de vista y enfoque del negocio que las ayuda a lograr objetivos de manera confiable, al mismo tiempo de abordar la incertidumbre (riesgo y retorno) y actuar con integridad (respetando las obligaciones legales y los compromisos voluntarios). Principled Performance se logra integrando y organizando áreas que, en muchas entidades, se encuentran fragmentadas y aisladas, como por ejemplo, el gobierno corporativo, la gestión del desempeño, la gestión de riesgo, el control interno, el cumplimiento y la auditoría. En algunas empresas, estas actividades se manejan en más de 15 departamentos diferentes y existe poca comunicación funcional de carácter transversal, de haberla. En algunas organizaciones, estas actividades no se administran en absoluto, literalmente no son gobernadas usando técnicas modernas de mejoramiento de procesos de negocio.

Figura 1

Aunque existen numerosas funciones que aportan al Principled Performance, muchas entidades utilizan la sigla GRC (del inglés, gobierno corporativo, riesgo y cumplimiento) para abreviar el conjunto de actividades. Cabe señalar que toda entidad ejecuta actividades implícitas de “GRC" hasta cierto grado, pero muchas no lo hacen todavía de una forma integrada logrando un GRC efectivo, el cual puede permitir el Principled Performance. Como se demuestra en la Figura 1, el logro del Principled Performance exige una visión holística que aborde el gobierno corporativo, la administración y el aseguramiento del desempeño, gestión de riesgo y cumplimiento; cada uno en consideración del otro. Como queda demostrado en las compañías que lo han hecho, esta integración produce resultados tangibles: • • • • •

Ahorro de 30% o más en costos; Mejor alineación de los objetivos del negocio con la misión, visión y valores de la entidad; Mejor asignación de capital a las iniciativas apropiadas en el momento oportuno; Mejora en la agilidad de la toma de decisiones; y Responsabilidad de todos los niveles de la organización respecto de los objetivos, riesgos, exigencias clave e iniciativas relacionadas.

En resumen, una entidad moderna debe enfrentar el actual ambiente de negocios con técnicas modernas, entre las que se encuentra una combinación de medidas y controles proactivos, de detección y de respuesta, si se trata de lograr el Principled Performance. Dichas técnicas se encuentran incluidas y codificadas dentro de este GRC Capability Model (que también se le denomina el Red Book del OCEG).

La anatomía del GRC Capability Model Para lograr GRC de alto rendimiento, el “Red Book de OCEG” entrega los componentes, elementos y prácticas clave que abordan las medidas y controles de administración que cada entidad debería implementar y manejar. A continuación se presentan las definiciones y una visión global de alto nivel de los términos clave del Red Book.

8 COMPONENTES INTEGRADOS

8 RESULTADOS UNIVERSALES Lograr los objetivos del negocio Mejorar la cultura organizacional

ORGANIZAR

Aumentar la confianza de stakeholders ANALIZAR EVALUAR

MEDIR

Preparar y proteger a la entidad

INTERACTUAR

Evitar, detectar y reducir la adversidad

ACTUAR PROACTIVAMENTE

RESPONDER

Motivar e inspirar las conductas deseadas Mejorar la capacidad de respuesta y eficiencia

DETECTAR

Optimizar valor económico y social

Figura 2 –Componentes del GRC Capability Model

Resultados Universales Los Resultados Universales corresponden a los resultados esperados y observables de una empresa con GRC de alto rendimiento.

U1. Lograr los objetivos del negocio Las entidades existen para lograr sus objetivos de negocio deseados. GRC debe contribuir a ello.

U2. Mejorar la cultura organizacional Inspirar y promover una cultura de alto rendimiento, responsabilidad, integridad, confianza y comunicación.

U3. Aumentar la confianza de los stakeholders Aumentar la seguridad y confianza de los stakeholders de la entidad.

U4. Preparar y proteger a la entidad Preparar a la entidad para enfrentar riesgos y exigencias, y protegerla de consecuencias negativas de hechos adversos, incumplimientos y conductas antiéticas.

U5. Evitar, detectar y reducir la adversidad Disuadir, evitar y establecer consecuencias para conductas negativas. Disminuir los daños tangibles e intangibles causados por eventos de riesgo adversos (los que pueden controlarse y los que no), incumplimiento, comportamiento poco ético y la probabilidad de que hechos similares sucedan en el futuro.

U6. Motivar e inspirar las conductas deseadas Entregar incentivos y retribuciones motivando la ocurrencia de conductas deseadas, en especial frente a circunstancias difíciles.

U7. Mejorar la capacidad de respuesta y eficiencia Mejorar continuamente la capacidad de respuesta (oportunidad y agilidad) y eficiencia (velocidad y calidad) de todas las actividades de GRC, al mismo tiempo de optimizar la eficacia (capacidad de cumplir los objetivos y exigencias).

U8. Optimizar valor económico y social Optimizar la asignación de capital humano y financiero a las actividades de GRC para maximizar el valor generado, lo que beneficia a la entidad y la sociedad en la que funciona.

Componentes Los Componentes abarcan Elementos integrados de GRC de alto rendimiento para apoyar los objetivos universales y organizacionales. Los Componentes funcionan de una manera algo secuencial; sin embargo, un usuario puede comenzar a aplicar el Red Book en cualquiera de los puntos de los Componentes. Todos los componentes deben funcionan en forma continua para lograr GRC de alto rendimiento.

CONTEXTO (C) Comprender la cultura y contexto actual del negocio para que la organización pueda abordar e influir de manera proactiva en las condiciones para apoyar los objetivos.

ORGANIZAR (O) Organizar y supervisar capacidades integradas que le permite a la entidad lograr de manera confiable sus objetivos y, al mismo tiempo, abordar la incertidumbre y actuar con integridad.

ANALIZAR - EVALUAR (A) Identificar amenazas, oportunidades y exigencias; evaluar el nivel de riesgo, retorno y cumplimiento; y alinear un enfoque para lograr de manera confiable los objetivos y, al mismo tiempo, abordar la incertidumbre y actuar con integridad.

ACTUAR PROACTIVAMENTE (P) Incentivar condiciones y hechos deseables, y evitar los que no lo son con medidas de gestión y control.

DETECTAR (D) Detectar progreso en el logro de los objetivos, de igual manera, detectar condiciones y hechos no deseados, usando medidas de gestión y control.

RESPONDER(R) Reaccionar a las condiciones y hechos que son deseables con retribuciones, y corregir los que no lo son, de tal manera que se recupere de estos, resolverlos de inmediato y mejorar el desempeño futuro.

MEDIR (M) Monitorear, medir y modificar las habilidades de GRC en forma periódica y continua para asegurar que contribuya a lograr los objetivos del negocio y, al mismo tiempo, ser eficaz, eficiente y reaccionar frente al ambiente de negocios cambiante.

INTERACTUAR (I) Capturar, documentar y manejar la información relativa a GRC, para que fluya de forma eficiente y exacta hacia los niveles superiores e inferiores y de manera transversal por toda la empresa, y hacia los stakeholders externos.

Elementos Cada Elemento abarca una serie de Prácticas relacionadas a GRC de alto rendimiento. Cada Elemento incluye un análisis de los Principios y Factores Críticos de Éxito, al igual que las Prácticas que lo sustentan.

INTERACTUAR

CONTEXTO

I1 – Manejo de la información I2 – Comunicación I3 – Tecnología

C1 – Contexto externo C2 – Contexto interno C3 – Cultura C4 – Objetivos

ORGANIZAR O1 – Compromiso O2 – Roles O3 – Responsabilidad

ANALIZAR – EVALUAR

MEDIR M1 – Monitoreo del contexto M2 – Monitoreo del desempeño M3 – Mejoramiento sistemático M4 – Aseguramiento

RESPONDER R1 – Controles reactivos R2 – Investigación interna R3 – Investigación de terceros R4 – Reacción frente a crisis R5 – Remediación R6 – Retribuciones

O M R

A P

I D

DETECTAR D1 –Controles detectivos D2 – Notificación D3 – Indagación

A1 – Identificación A2 – Análisis A3 – Planificación

ACTUAR PROACTIVAMENTE P1 – Controles proactivos P2 – Códigos de conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con los stakeholders P7 – Financiamiento de riesgo

Figura 3 – Vista de los elementos del GRC Capability Model

Principios Los Principios que soportan cada Elemento entregan la "esencia”, a un alto nivel, de lo que debería lograr el Elemento. Los Principios reflejan el consenso de la comunidad de negocios a la luz de sus conocimientos de exigencias comunes y experiencia práctica en todos los sectores de la actividad económica.

Prácticas Las Prácticas son conjuntos de actividades que abordan los Principios descritos en el Elemento. Las denominaciones o titulo de cada Práctica son concisos para comunicar la esencia de la Práctica y se detallan en las Subprácticas.

Subprácticas Las Subprácticas son medidas observables clave que, en su conjunto, constituyen los sellos de una capacidad eficaz. Aunque una entidad puede seguir un proceso de 5 pasos y otra uno de 20 para lograr lo mismo, las Subprácticas identificadas deberían estar presentes en ambas. Las Subprácticas son prácticas generalmente aceptadas que ayudan a una entidad a gestionar en forma eficaz y eficiente los Principios y las correspondientes exigencias legales vigentes . Con frecuencia, los mandatos legales no son específicos respecto a prácticas empresariales; en su lugar, expresan principios amplios que debe abordar una entidad. Por su parte, las Subprácticas ayudan a una entidad a abordar esos Principios.

Medidas y Controles A lo largo del Red Book existen numerosas referencias a “medidas y controles”. Una entidad debería considerar las tres perspectivas que debe abordar al establecer medidas y controles no sólo para asegurar la gestión de riesgo y adecuado cumplimiento , sino que también sustentar el cumplimiento de los objetivos organizacionales establecidos.  Medidas y controles a nivel de gobierno corporativo ayudan a dirigir, controlar y evaluar externamente una entidad, proceso o recurso.  Medidas y controles al nivel de administración ayudan a dirigir, controlar y evaluar internamente una entidad, proceso o recurso.  Medidas y controles de aseguramiento ayudan a evaluar objetivamente una entidad, proceso o recurso. También existen tres tipos de medidas y controles, y resulta indispensable que las entidades utilicen una combinación apropiada para gestionar riesgo y cumplimiento como parte de habilidades GRC de alto rendimiento.

 Los controles proactivos incentivan proactivamente condiciones o hechos que son deseables y evitan los que no lo son.  Las medidas y controles de incentivo aumentan la probabilidad, efecto o velocidad de las condiciones o hechos que son deseables.  Las medidas y controles preventivos disminuyen la probabilidad, efecto o velocidad de las condiciones o hechos que no son deseables.  Los controles de detección detectan la ocurrencia real o potencial de condiciones y hechos que son deseables o no.  Los controles de respuesta recompensan las condiciones o hechos que son deseables y corrigen los que no lo son.  Las medidas y controles de retribución reconocen la ocurrencia de condiciones o hechos deseables, y aumentan la probabilidad, efecto y velocidad actual de otras condiciones o hechos deseables.  Las medidas y controles correctivos acaban con la confusión causada por la ocurrencia de condiciones o hechos que no son deseables, y disminuyen la probabilidad, efecto y velocidad actual de otras condiciones o hechos que no son deseables. En resumen, GRC debe sustentar el gobierno corporativo, aseguramiento, gestión del desempeño, riesgo y cumplimiento con una combinación de medidas y controles proactivos, de detección y de respuesta para lograr Principled Performance. Este GRC Capability Model entrega la estructura para lograrlo.

Materiales de apoyo El Red Book de OCEG se complementa con una serie de documentos adicionales.



La guía de soluciones tecnológicas GRC (“The GRC Technology Solution Guide”) Esta guía ayuda a los usuarios a determinar qué tipos de soluciones tecnológicas pueden servir para manejar cada elemento del GRC Capability Model. Además, puede ayudar a los usuarios de TI y del negocio a comprender a un alto nivel la tecnología que está disponible, priorizar las necesidades de su entidad y comenzar el proceso de selección de la tecnología. La guía define las categorías de soluciones y las correlaciona para modelar los elementos, las funciones de usuarios clave, y los procesos y funciones típicos de la empresa. Con una comprensión de estas relaciones, los propietarios de procesos GRC y los profesionales de tecnología de la información pueden utilizar la guía para entender mejor y permitir el apoyo tecnológico para los procesos GRC. La guía es gratuita para los miembros de primer nivel y corporativos de OCEG, y las demás personas la pueden adquirir en la tienda de OCEG en www.oceg.org .



Las herramientas de evaluación GRC (Burgundy Book)) Las herramientas de evaluación GRC (Burgundy Book) entregan un conjunto común de procedimientos de evaluación y una comprensión común de lo que se puede esperar durante una evaluación de diseño y operativa de la eficacia de GRC. Estos procedimientos se alinean con el Red Book de OCEG y se pueden utilizar para realizar una autoevaluación, al igual que una evaluación independiente. El informe de una evaluación de GRC que realiza un tercero calificado con los procedimientos expuestos en el Burgundy Book es aceptable como aporte para el Programa de Certificación de Capacidad de OCEG. Además de ayudar a las entidades a evaluar la eficacia operativa y de diseño que presentan sus sistemas GRC, el Burgundy Book puede ayudar a:  Disminuir el costo de dichas evaluaciones  Elevar el nivel global de la madurez y calidad de GRC  Entregar un juicio y reconocimiento externos de prácticas acertadas.

El Burgundy Book es gratuito para los miembros corporativos de OCEG, y las demás personas la pueden adquirir en la tienda de OCEG en www.oceg.org .



Fundamentos de GRC (GRC Fundamentals) Los fundamentos de GRC corresponden a una serie de cursos grabados que ofrecen más elementos para comprender el significado de Principled Performance y los detalles de GRC de alto rendimiento. Los usuarios pueden elegir y ver sesiones cuando lo deseen, y en la medida que sea necesario obtener información sobre cada elemento del Red Book de OCEG. Las actualizaciones y suplementos periódicos mantienen los materiales contingentes. La serie también se puede utilizar para ayudar a las personas a prepararse para lograr la Certificación Profesional en GRC que ofrece la afiliada de OCEG, GRC Certify. Los fundamentos de GRC se pueden adquirir en la tienda de OCEG en www.oceg.org y se dispone de mayor información sobre la certificación en www.grccertify.org. 19



Otros recursos de apoyo Todos los siguientes materiales son gratuitos para los miembros de primer nivel y corporativos de OCEG, y las demás personas los pueden adquirir en la tienda de OCEG en www.oceg.org. o o o o

Guía de medición y métrica (Measurement & Metrics Guide) Guía de auditoría interna (Internal Audit Guide) Manual de canales de denuncia – hotlines - y canales de ayuda - helpline (Hotline/Helpline Handbook) Serie ilustrada de GRC (GRC Illustrated Series)

Red Book de OCEG GRC Capability ModelMR versi贸n 2.1 C贸mo lograr Principled Performance integrando gobierno corporativo, aseguramiento, gesti贸n del desempe帽o, riesgo y cumplimiento

ÍNDICE DEL MODELO C CONTEXTO .............................................................................................................................. 23 O ORGANIZAR ............................................................................................................................ 40 A ANALIZAR - EVALUAR .............................................................................................................. 56 P ACTUAR PROACTIVAMENTE .................................................................................................... 75 D DETECTAR ..............................................................................................................................115 R RESPONDER ...........................................................................................................................130 M MEDIR...................................................................................................................................156 I INTERACTUAR .........................................................................................................................172

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C CONTEXTO

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Comprender la cultura y contexto actual del negocio para que la entidad pueda abordar e influir proactivamente en condiciones para asegurar el logro de sus objetivos. C1 Contexto externo C1.1 Analizar el contexto externo del negocio. C1.2 Analizar las necesidades de los stakeholders externos y necesidades de aquellos capaces de influenciar

C2 Contexto interno C2.1 Definir el contexto interno. C2.2 Determinar los cambios que se necesitan para alinear el contexto interno y GRC.

C3 Cultura C3.1 Analizar la cultura ética. C3.2 Analizar el liderazgo ético. C3.3 Analizar la cultura de riesgo. C3.4 Analizar la participación del directorio. C3.5 Analizar la cultura de gobierno corporativo y el estilo de administración. C3.6 Analizar el compromiso del personal.

C4 Objetivos C4.1 Definir la misión y visión. C4.2 Definir los valores. C4.3 Definir los objetivos del negocio. C4.4 Definir la apetito de riesgo y los criterios para la toma de decisiones. C4.5 Definir los indicadores, objetivos y tolerancias. C4.6 Lograr compromiso con la misión, visión, valores y objetivos. C4.7 Comunicar la misión, visión y valores. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C1 CONTEXTO EXTERNO

C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos

Comprender y, si es necesario, influir en el contexto externo del negocio en que funciona la entidad.

Principios 01 Comprender que el contexto externo está en constante cambio es de suma importancia para diseñar capacidades que sean flexible al cambio y puedan evolucionar con él. 02 Algunos aspectos del contexto externo cambiarán a pesar de que la entidad se esfuerce en mantener el statu quo. 03 Ciertos aspectos del contexto externo pueden y, en algunos casos, deberían ser influidos por la entidad. 04 La empresa debería reconocer que existen factores influyentes externos, como por ejemplo los medios de información o grupos de la comunidad que pueden definir la opinión de los stakeholders.

Factores Críticos de Éxito 01 Considerar que algunas veces los aspectos del contexto externo pueden ser cambiados. 02 Asegurarse de que exista el suficiente monitoreo de los cambios que suceden en el contexto externo. 03 Comprender las necesidades y exigencias de los stakeholders externos. 04 Garantizar que exista la habilidad para reaccionar oportuna y apropiadamente a los cambios que se producen en el contexto externo.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model C1.1 Analizar el contexto externo del negocio. C1.2 Analizar las necesidades de los stakeholders externos y personas influyentes.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C1 CONTEXTO EXTERNO

C1.1 ANALIZAR EL CONTEXTO EXTERNO DEL NEGOCIO Identificar y analizar los factores del contexto externo del negocio. Subprácticas Principales C1.1.01  Identificar los factores que se presentan en el contexto externo del negocio que pueden afectar la capacidad de la entidad para cumplir sus objetivos, incluidos:  las fuerzas de la industria (competencia, cadena de abastecimiento, mercados laborales, clientes, etc.);  las fuerzas del mercado (demografía de los clientes, condiciones económicas, etc.);  la fuerzas tecnológicas (cambios y avances tecnológicos, etc.);  las fuerzas sociales (necesidades de la comunidad, tendencias de los medios de información, etc.);  el ambiente normativo (leyes, reglas y normas; tendencias de aplicación de las leyes, etc.); y  las fuerzas geopolíticas (política nacional; estabilidad política; situación de guerra y paz, etc.). C1.1.02  Identificar las razones y oportunidades para influir en el contexto externo. C1 CONTEXTO EXTERNO

C1.2 ANALIZAR LAS NECESIDADES DE LOS STAKEHOLDERS EXTERNOS Y LAS PERSONAS INFLUYENTES Identificar a los stakeholders externos clave y las personas influyentes con opinión, analizar y priorizar sus necesidades y exigencias. Subprácticas Principales C1.2.01  Identificar a los stakeholders externos clave y las personas influyentes, incluidos:  los accionistas;  las clasificadoras de riesgo;  los acreedores;  los clientes;  los proveedores y socios de negocio;  la comunidad;  los medios de información; y  el gobierno. C1.2.02  Analizar las necesidades y percepciones de los stakeholders externos y personas influyentes respecto a las exigencias explícitas o derivadas. C1.2.03  Identificar oportunidades en que la entidad puede afectar las percepciones y exigencias de los stakeholders y personas influyentes. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C2 CONTEXTO INTERNO

C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos

Comprender y, si es necesario, influir en el contexto interno del negocio, incluidos la estrategia, las estructuras organizacionales y todos los procesos y recursos clave (humanos, financieros, información, tecnología, instalaciones y otros activos).

Principios 01 El análisis del contexto interno debería centrarse en los aspectos clave que impulsan el valor organizacional. 02 Diseñar GRC que se alinee con el contexto interno. 03 La entidad debería utilizar GRC para identificar y cambiar ciertos aspectos del contexto interno para apoyar mejor forma los objetivos organizacionales. 04 Algunos aspectos del contexto interno cambiarán a pesar que la entidad se esfuerce por mantener el statu quo, de esta manera, las habilidades GRC deben identificar los factores desencadenantes que requerirán o causarán que evolucione.

Factores Críticos de Éxito 01 Considerar el contexto interno y el modelo operacional actual al diseñar GRC, y de esta manera diseñar un sistema que se integre a las principales operaciones del negocio. 02 Comprender cómo los cambios en el contexto interno exigen realizar cambios en GRC.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model C2.1 Definir el contexto interno. C2.2 Determinar los cambios necesarios para alinear el contexto interno y GRC.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C2 CONTEXTO INTERNO

C2.1 DEFINIR EL CONTEXTO INTERNO Identificar las estructuras y activos clave que definen el Contexto Interno. Subprácticas Principales C2.1.01  Identificar la estructura organizacional:  unidades de negocio clave,  departamentos clave,  cargos y funciones clave, y  equipos temporales y funcionales transversales. C2.1.02  Identificar procesos de negocio clave:  financieros,  ventas y marketing,  manufactura,  abastecimiento,  distribución,  servicio al cliente,  investigación y desarrollo, y  empleo. C2.1.03  Identificar los recursos de capital humano clave:  cargos, funciones y designaciones temporales que tienen autoridad considerable en los procesos, información y recursos clave,  empleados y cualquier otro agente que actúan a nombre de la entidad y  personal clave incluidos los ejecutivos de alto rango y otros empleados clave. C2.1.04  Identificar recursos tecnológicos clave:  infraestructura de redes,  hardware y software computacional,  equipos de desarrollo y  otros equipos C2.1.05  Identificar los recursos de información clave:  datos confidenciales y secretos comerciales,  información de los clientes y  información de los empleados. C2.1.06  Identificar los recursos físicos clave: Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

  

edificios, instalaciones y equipos operativos.

C2.1.07  Identificar productos y servicios clave. C2.1.08  Identificar las relaciones que existen entre los elementos de la estructura, las personas, los procesos, la tecnología, la información y los recursos físicos para comprender cómo los recursos funcionan en conjunto para lograr los objetivos. C2.1.09  Identificar las estrategias que existen para lograr los objetivos del negocio. C2.1.10  Dado el estado actual, definir la capacidad de riesgo que presenta la entidad respecto a categorías específicas de riesgo.

CONTEXTO INTERNO

C2.2 DETERMINAR LOS CAMBIOS NECESARIOS PARA ALINEAR EL CONTEXTO INTERNO CON GRC Identificar los posibles cambios en el contexto interno que pueden afectar los aspectos de diseño de GRC o asegurar la alineación. Subprácticas Principales C2.2.01  Determinar qué aspectos del contexto interno pueden y deberían cambiarse para permitirle que GRC apoye los objetivos organizacionales. C2.2.02  Determinar cómo el diseño de GRC se alineará con la estructura del contexto interno. C2.2.03  Identificar los factores desencadenantes para considerar los cambios en GRC, en respuesta a los cambios en el contexto interno.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C3 CULTURA

C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos

Comprender la cultura actual incluyendo el clima organizacional y la forma de pensar acerca gobierno corporativo, aseguramiento y la administración del desempeño, riesgo y cumplimiento.

Principios 01 Considerar todos los aspectos de la cultura, incluyendo la cultura ética, la de gobierno corporativo, la de riesgo y la del personal, considerando situación actual y futura deseada. 02 El liderazgo debe fijar el tono de la alta gerencia y proporcionar un compromiso coherente y permanente con la integridad en lo que se dice y se hace. 03 Las personas deben estar convencidas que el compromiso de sus líderes con los valores es genuino, de otra forma, no respetarán los valores establecidos. 04 GRC puede y, en algunas instancias, debería cambiar ciertos aspectos de la cultura. 05 Algunos aspectos de la cultura cambiarán a pesar que la entidad se esfuerce en mantener el statu quo, por lo tanto, GRC debe contar con factores desencadenantes que indicaran cuando evolucionar para reaccionar frente a los cambios culturales.

Factores Críticos de Éxito 01 Considerar el estado actual de la cultura de la entidad antes de iniciar algún cambio. 02 Reconocer que con frecuencia existen varias “subculturas” y diferentes enfoques de riesgo, de comunicación y del valor atribuido a actuar con integridad en diferentes zonas geográficas o funcionales de la entidad. 03 Reconocer que el cambio cultural puede ser muy difícil y exige que la jefatura dé el ejemplo de manera continua.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model C3.1 Analizar la cultura ética. C3.2 Analizar el liderazgo ético. C3.3 Analizar la cultura de riesgo. C3.4 Analizar la participación del directorio. C3.5 Analizar la cultura de gobierno corporativo y el estilo de administración. C3.6 Analizar el compromiso del personal.

Entregables Clave Planes Plan Estratégico de GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C3 CULTURA

C3.1 ANALIZAR LA CULTURA ÉTICA Analizar el clima actual (elementos observables y formales dentro de la entidad) y las formas individuales de pensar sobre el grado hasta el cual el personal cree que la empresa espera y apoya conductas responsables e integras. Subprácticas Principales C3.1.01  Evaluar de manera periódica, a través de una muestra de empleados, el clima ético incluyendo preguntas sobre:  las percepciones acerca de los valores y principios establecidos, y apoyo organizacional al respecto,  la claridad de los procedimientos por los cuales se pueden plantear, analizar e informar posibles problemas sin temor a una represalia,  cómo los jefes y supervisores demuestran fortaleza ética y agudeza empresarial,  mala conducta observada por los empleados,  tipos de mala conducta observada,  la presión para participar en actos de conducta poco ética o retribuciones que se perciben por realizarlos,  la disposición de los empleados a denunciar la mala conducta,  la satisfacción con la respuesta de la entidad frente a las denuncias de mala conducta, y  cuándo y cómo los jefes y supervisores analizan el comportamiento e integridad que se espera. C3.1.02  Identificar cómo la entidad comenta los siguientes aspectos por medio de varios canales de comunicación:  la importancia de la integridad, los valores y los principios en la toma de decisiones,  la importancia de preguntar y plantear problemas cuando existen inquietudes,  cómo denunciar incidentes y plantear preguntas,  el grado de seguridad que antes incidentes se generará una reacción oportuna,  el grado de seguridad que ante denuncias de incidentes no se generará ninguna represalia,  un compromiso con alternativas de denuncia anónima y  un enfoque para la toma de decisiones de manea ética. C3.1.03  Definir los objetivos de clima ético, medidas, metas e iniciativas e incluirlos en el plan estratégico de GRC.

C3 CULTURA

C3.2 ANALIZAR EL LIDERAZGO ÉTICO Analizar si el liderazgo fija las “pautas desde el más alto nivel 2” y sirve de ejemplo de conducta en lo que se dice y se hace. 2

Del ingles “tone at the top”.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

Subprácticas Principales C3.2.01  Evaluar de manera periódica, a través de una muestra de empleados, las percepciones de si sus líderes:  comunican la conducta ética y la integridad como prioridad,  ejemplifican la conducta ética,  garantizan que los stakeholders internos se encuentran bien capacitados sobre ética y la priorizan,  relacionan la ética con las métricas de desempeño organizacional,  toman decisiones éticas y  conversan sobre cómo la ética o la integridad en relación con los objetivos, iniciativas y éxito de la entidad. C3.2.02  Determinar si se considera la conducta ética y la integridad al evaluar, ascender y seleccionar a los líderes. C3.2.03  Determinar si los posibles futuros líderes y líderes recién ascendidos se encuentran capacitados sobre:  la toma de decisiones de carácter ético,  cómo la ética se relaciona con los objetivos organizacionales y  cómo comunicar el efecto de la ética en el desempeño de la entidad. C3.2.04  Comparar los objetivos, medidas, metas e iniciativas éticas de los líderes con los resultados obtenidos.

C3 CULTURA

C3.3 ANALIZAR LA CULTURA DE RIESGO Analizar el clima actual y las formas individuales de pensar sobre cómo el personal percibe el riesgo, los efectos en su trabajo y en la entidad en su conjunto. Subprácticas Principales C3.3.01  Evaluar de manera periódica, a través de una muestra de empleados, la cultura del riesgo, incluyendo:  si la jefatura comunica el apetito de riesgo,  si la jefatura es un ejemplo de conducta apropiada para asumir riesgos,  si las personas se enfrentan a riesgos en el trabajo y de qué tipo, y  si las personas están preparadas para manejar los riesgos que enfrentan. C3.3.02  Definir el estado deseado para el clima de riesgo e indicadores de percepciones. C3.3.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Definir los objetivos, medidas, metas e iniciativas del clima de riesgo para incluirlos en el plan estratégico de GRC.

C3 CULTURA

C3.4 ANALIZAR LA PARTICIPACIÓN DEL DIRECTORIO Analizar el grado de involucramiento del directorio en la entidad. Subprácticas Principales C3.4.01  Formularle al directorio las siguientes preguntas:  ¿Se siento cómodo planteando preguntas o situaciones complejas?  ¿ Se siento cómodo desafiando a la administración?  ¿Son consideradas sus sugerencias?  ¿Qué tanto se involucran en la determinación y aprobación de la estrategia de la organización?  ¿El directorio es eficaz? C3.4.02  Formularle a la administración las siguientes preguntas:  ¿El directorio es eficaz?  ¿Están comprometidos los miembros del directorio?  ¿Influyen en el negocio? C3.4.03  Analizar el involucramiento del directorio:  pasivo o activo,  número de sesiones al año,  frecuencia de sesiones sin uno o más de los miembros,  recursos a disposición de los miembros del directorio,  grado de participación transversal entre los miembros (hasta qué grado se desempeñan en varios directorios en conjunto).

C3 CULTURA

C3.5 ANALIZAR LA CULTURA DE GOBIERNO CORPORATIVO Y EL ESTILO DE ADMINISTRACIÓN Analizar el enfoque actual de gobierno corporativo, administración y el desarrollo del personal Subprácticas Principales C3.5.01  Identificar dónde la autoridad para la toma de decisiones es delegada. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C3.5.02  Determinar cómo la responsabilidad se asigna y se controla. C3.5.03  Determinar si el directorio participa en la administración de la organización, y de ser así, comprender de qué forma participa. C3.5.04  Comprender el nivel de formalidad / informalidad de la administración. C3.5.05  Comprender la filosofía que existe en torno a la toma de decisiones centralizada o descentralizada. C3.5.06  Comprender la filosofía que existe en torno a la medición del desempeño de la empresa, el grupo y las personas:  resistencia a la medición;  frecuencia de la medición;  preferencias en tipos de medición (actividades o resultados);  lo que se informa (positivo, negativo o ambos);  resultados de la medición (centrados en las retribuciones, las consecuencias o equilibrado).

C3 CULTURA

C3.6 ANALIZAR EL COMPROMISO DEL PERSONAL Analizar la cultura de recursos humanos, incluyendo grado de satisfacción, lealtad y participación del personal. Subprácticas Principales C3.6.01  Evaluar las opiniones del personal sobre la alineación de los valores personales con la visión y valores de la entidad. C3.6.02  Preguntar a una muestra del personal sobre su satisfacción respecto a:  sueldos,  responsabilidad,  oportunidades profesionales,  compañeros de trabajo,  supervisores,  alta gerencia y  personal de apoyo. C3.6.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Preguntar a una muestra del personal su percepción respecto a:  el nivel de compromiso con la entidad,  participación,  lealtad y  disponibilidad para recomendar el empleador a amigos. C3.6.04  Preguntar a una muestra de personal sobre su percepción de:  el compromiso de la administración con la competencia,  políticas y prácticas de contratación,  políticas y prácticas de capacitación,  políticas y prácticas de medición,  políticas y prácticas de evaluación del desempeño,  políticas y prácticas de ascensos y promociones,  tutorías y orientación profesional,  políticas y prácticas sobre sueldos, y  políticas y prácticas sobre retribuciones y acciones disciplinarias. C3.6.05  Preguntar en forma periódica a la administración sobre su compromiso con el personal, incluidas las opiniones sobre:  el compromiso con la competencia,  políticas y prácticas de contratación,  políticas y prácticas de capacitación,  políticas y prácticas de evaluación del desempeño,  políticas y prácticas de ascensos y promociones,  tutorías y orientación profesional,  políticas y prácticas sobre sueldos,  políticas y prácticas sobre retribuciones y acciones disciplinarias,  funciones, cargos y carrera profesional, y  prácticas sobre despido y jubilación.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C4 OBJETIVOS

C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos

Definir y alinear lo que la entidad desea lograr, sus valores, y los niveles aceptables de riesgo.

Principios 01 Con una misión, visión y valores clara, pero con líderes ausentes, la entidad funcionará con valores definidos, según las necesidades ad-hoc, de los equipos de trabajo o personas de acuerdo con sus propias creencias e intereses. 02 Los valores variarán en cada entidad, sin embargo, los valores deben incluir la adhesión a los mandatos legales y principios generales de integridad y conducta ética. 03 El Directorio debe supervisar las gestiones de la administración para cumplir con los objetivos establecidos 04 Alinear la misión, visión, valores y objetivos. 05 Asegurar que se consideren el desempeño y la tolerancia al riesgo.

Factores Críticos de Éxito 01 Los líderes de la organización deben servir de ejemplo y no puede permitírsele actuar en forma contraria a los valores establecidos sin producir consecuencias. 02 Declarar los valores de la entidad a todos los stakeholders, continuamente y desde todos los niveles de liderazgo. 03 Abordar los valores y compromiso con la ética al fijar y sistematizar los objetivos del negocio.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model C4.1 Definir la misión y visión. C4.2 Definir los valores. C4.3 Definir los objetivos del negocio. C4.4 Definir la apetito de riesgo y los criterios para la toma de decisiones. C4.5 Definir los indicadores, objetivos y tolerancias. C4.6 Lograr un compromiso con la misión, visión, valores y objetivos. C4.7 Comunicar la misión, visión y valores.

Entregables Clave Estados de Situación Declaración sobre Misión, Visión y Valores, y Declaración de Objetivos Organizacionales

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C4 OBJETIVOS

C4.1 DEFINIR LA MISIÓN Y VISIÓN Crear una declaración formal de la misión y visión de la entidad. Subprácticas Principales C4.1.01  Definir la misión, es decir, lo que la entidad realizará. C4.1.02  Definir la visión, es decir, lo que la entidad será.

C4 OBJETIVOS

C4.2 DEFINIR LOS VALORES Crear una declaración formal de los valores que la entidad mantiene y aplica a sus decisiones empresariales. Subprácticas Principales C4.2.01  Hacer participar al directorio (o subcomité del mismo) y los stakeholders internos pertinentes en el proceso de formulación de los valores de la entidad. C4.2.02  Documentar la declaración de valores, como parte de un documento separado o parte de otro documento, como por ejemplo estatutos o código de conducta. C4.2.03  Declaración de valores a disposición de los stakeholders internos. C4.2.04  Declaración de valores a disposición de los stakeholders externos. C4.2.05  Revisar periódicamente la declaración de valores para considerar las revisiones tomando como base el negocio interno y externo, la administración, y los cambios en el contexto legal o cultural. C4.2.06  Definir un procedimiento y circunstancias en las cuales la declaración de valores debe ser actualizada al fusionarse o adquirir otra entidad.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

C4 OBJETIVOS

C4.3 DEFINIR LOS OBJETIVOS DEL NEGOCIO Definir un conjunto de objetivos medibles del negocio que concuerden con la misión, visión y valores. Subprácticas Principales C4.3.01  Definir categorías de objetivos del negocio para agrupar los objetivos por grupos. C4.3.02  Definir los objetivos del negocio incluidos:  los estratégicos,  los financieros,  los de clientes  los de procesos operacionales,  los de aprendizaje y crecimiento,  los de cumplimiento y  los de emisión de informes. C4.3.03  Difundir los objetivos del negocio hacia los niveles inferiores dentro de la entidad, incluidas las unidades de negocio, departamentos, equipos y personas, con el propósito de que los objetivos del negocio de niveles inferiores se correlacionen con los de más alto nivel. C4.3.04  Asignar responsabilidad para lograr los objetivos del negocio en cada uno de los niveles.

C4 OBJETIVOS

C4.4 DEFINIR EL APETITO DE RIESGO Y LOS CRITERIOS PARA TOMA DE DECISIONES

Definir el enfoque y los criterios para tomar decisiones en torno al riesgo, incluyendo el apetito, la tolerancia y la capacidad respecto al riesgo. Subprácticas Principales C4.4.01  Para cada objetivo del negocio o categoría de objetivos, definir el nivel de tolerancia al riesgo cualitativa o cuantitativa, es decir, el nivel limite de riesgo que la entidad no está disponible a sobrepasar en la búsqueda de sus objetivos, considerando la capacidad de riesgo. C4.4.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Para cada objetivo del negocio o categoría de objetivos, definir el apetito al riesgo cualitativo o cuantitativo, es decir, el nivel de riesgo que la entidad desea tomar en la búsqueda de sus objetivos, considerando la tolerancia y capacidad de riesgo. C4.4.03  Definir otros criterios para analizar los riesgos/retorno, y la conformidad relacionada con los objetivos. C4.4.04  Definir un apetito de riesgo explícito igual a cero respecto a infringir exigencias obligatorias.

C4 OBJETIVOS

C4.5 DEFINIR INDICADORES, METAS Y TOLERANCIAS Definir un conjunto balanceado de indicadores, de desempeño y de resultados, que ayuden a la administración a comprender si la entidad está cumpliendo sus metas de negocio dentro de las tolerancias definidas. Subprácticas Principales C4.5.01  Utilizar indicadores (de desempeño y de resultados) para determinar lo que ha sucedido o predecir lo que pasará. C4.5.02  Establecer metas que representan el valor deseado del indicador en un periodo determinado. C4.5.03  Determinar las tolerancias que representan umbrales superiores e inferiores del valor de los indicadores.

C4 OBJECTIVOS

C4.6 LOGRAR UN COMPROMISO CON LA MISIÓN, LA VISIÓN, LOS VALORES Y LOS OBJETIVOS Lograr un compromiso de parte de la administración y los miembros del directorio sobre lo que la entidad logrará mientras respeta sus valores. Subprácticas Principales C4.6.01  Comprometer a la alta gerencia y los miembros del directorio con la misión, visión y valores. C4.6.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Comprometer a la alta gerencia y los miembros del directorio con los objetivos. C4.6.03  Comprometer a la alta gerencia y los miembros del directorio con el los distintos apetitos de riesgo, indicadores, metas y tolerancias al riesgo.

C4 OBJETIVOS

C4.7 COMUNICAR LA MISIÓN, LA VISIÓN Y LOS VALORES Comunicar la misión, la visión y los valores a los stakeholders internos y externos. Subprácticas Principales C4.7.01  Elaborar un formato para comunicar la misión, visión y valores de la entidad, de tal manera que exista coherencia en todas las comunicaciones formales. C4.7.02  Los líderes de la organización deben comunicar la misión, visión y valores a la administración y personal de manera informal y frecuente, en reuniones y presentaciones. C4.7.03  Comunicar la misión, visión y valores a los stakeholders internos y externos de manera formal por medio de:  el código de conducta,  el sitio web de la entidad,  los informes y las comunicaciones a los accionistas y otros stakeholders, y  anuncios en el lugar de trabajo. C4.7.04  Analizar cómo los resultados de cada equipo, departamento, unidad de negocio o función sustentan el logro de la misión, visión, valores y objetivos de la entidad.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O ORGANIZAR

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Organizar y supervisar que la integración de GRC permite a la entidad lograr de manera confiable los objetivos, al mismo tiempo de abordar la incertidumbre y actuar con integridad. O1 Compromiso O1.1 Definir al alcance de GRC. O1.2 Definir el estilo y metas de GRC. O1.3 Lograr el compromiso con GRC.

O2 Funciones O2.1 Definir O2.2 Definir O2.3 Definir O2.4 Definir O2.5 Definir

e implementar e implementar e implementar e implementar e implementar

las las las los las

funciones y responsabilidad de supervisión de GRC. funciones y responsabilidad de la administración. funciones y responsabilidad de liderazgo. roles operativos roles y responsabilidades de aseguramiento.

O3 Responsabilidad O3.1 Asignar responsabilidad a individuos y comités. O3.2 Definir los procesos de GRC e integrarlos a los procesos de negocio. O3.3 Definir el enfoque de medición y evaluación. O3.4 Definir el enfoque de administración del cambio organizacional. O3.5 Elaborar, mantener y autorizar una Caso de Negocio.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O1 COMPROMISO

O1 Compromiso O2 Funciones O3 Responsabilidad

Definir las metas de GRC y lograr el compromiso del directorio y la administración.

Principios 01 El directorio está a cargo de establecer el propósito y las metas de GRC. 02 El directorio y la administración deben estar comprometidos con el propósito de GRC y liderar con el ejemplo. 03 GRC sólo es exitoso si contribuye al logro de los objetivos del negocio.

Factores Críticos de Éxito 01 Establecer los objetivos de GRC y un estatuto alineados con los objetivos de la entidad. 02 Obtener el apoyo del directorio y la alta gerencia. 03 Definir y describir GRC como la capacidad de facilitar el gobierno corporativo, administración y aseguramiento de las metas organizacionales de desempeño, la gestión de riesgo y el cumplimiento.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model O1.1 Definir el alcance de GRC. O1.2 Definir el estilo y metas de GRC. O1.3 Lograr compromiso con GRC.

Entregables Clave Autorizaciones Autorización Interna y Estatuto de GRC Planes Plan Estratégico de GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O1 COMPROMISO

O1.1 DEFINIR EL ALCANCE DE GRC Definir el alcance de GRC o del subsistema en consideración. Subprácticas Principales O1.1.01  Determinar si definir e implementar GRC en toda la empresa o en etapas considerando por ejemplo:  Áreas de riesgo (programa de cumplimiento, programa de riesgo financiero, etc.) o  Riesgos específicos (control interno de la emisión de informes financieros, el cumplimiento laboral, la gestión de riesgo de fraude, etc.). O1.1.02  Si se utiliza un enfoque con etapas, priorizar y coordinar los proyectos de desarrollo para garantizar la capacidad de integración.

O1 COMPROMISO

O1.2 DEFINIR EL ESTILO Y METAS GRC Definir el estilo de GRC, lo que logrará y cómo se relaciona con los objetivos del negocio. Subprácticas Principales O1.2.01  Definir la misión y visión de GRC como punto de partida para el plan estratégico de GRC. O1.2.02  Definir el enfoque general de GRC:  enfoque de hacer cumplir o incentivando  enfoque de dirección o de colaboración. O1.2.03  Definir las metas, indicadores, umbrales y tolerancias medibles de GRC para incluirlos en el plan estratégico de GRC que sustenta los siguientes objetivos universales:  mejorar la cultura organizacional,  aumentar la confianza de los stakeholders,  preparar y proteger la entidad,  evitar, detectar y disminuir la adversidad,  motivar e inspirar la conducta deseada,  mejorar la reacción y eficiencia, y  optimizar el valor económico y social. O1.2.04 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Asignar responsabilidad a cada meta de GRC, incluida la delegación de autoridad, si procede. O1.2.05  Describir cómo las metas de GRC sustentan los objetivos del negocio.

O1 COMPROMISO

O1.3 LOGRAR COMPROMISO CON GRC Obtener la autorización explícita y por escrito, y el apoyo de la alta gerencia a GRC. Subprácticas Principales O1.3.01  Lograr el compromiso y autorización del directorio. O1.3.02  Lograr el compromiso de la alta gerencia para apoyar GRC.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O2 FUNCIONES

O1 Compromiso O2 Funciones O3 Responsabilidad

Definir, a través de la delegación de autoridad y recursos, cada función responsable de los aspectos clave de GRC.

Principios 01 GRC debería ser dirigida, diseñada, operada y evaluada por una mezcla entre el direct orio, la administración y personas independientes de esta última. 02 La entidad debería seleccionar las personas que cumplen funciones de GRC, considerando cualquier mala conducta previa. 03 Las personas que cumplen funciones de GRC deberían recibir una capacitación especializada en normas y guías sobre GRC. 04 Los líderes pueden ayudar a facilitar la adopción y aceptación de GRC. 05 Los líderes deberían ser de diversos niveles dentro de la entidad, no sólo ejecutivos de alto rango.

Factores Críticos de Éxito 01 Definir funciones, responsabilidades y autoridad clave. 02 Preparar a los líderes para asumir responsabilidades de GRC. 03 Asignar la rendición de cuentas o responsabilidad relativa a GRC a personas que poseen la autoridad y las habilidades necesarias. 04 Garantizar que las funciones de aseguramiento y administración se encuentran segregadas, si procede.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model O2.1 Definir O2.2 Definir O2.3 Definir O2.4 Definir O2.5 Definir

e implementar e implementar e implementar e implementar e implementar

las las las las las

funciones funciones funciones funciones funciones

y responsabilidad de supervisión de GRC. y responsabilidad de la administración. y responsabilidad de liderazgo. operativas de GRC. y responsabilidad de aseguramiento.

Entregables Clave Descripciones Función y Descripciones de Cargos Planes Plan de Estudios Especializados en GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O2 FUNCIONES

O2.1 DEFINIR E IMPLEMENTAR LAS FUNCIONES Y RESPONSABILIDAD DE SUPERVISIÓN DE GRC Definir las funciones y responsabilidades de supervisión de cada aspecto de GRC. Subprácticas Principales O2.1.01  Definir los atributos críticos de las estructuras de supervisión (por ejemplo, el directorio) y el personal (por ejemplo, los miembros del directorio), entre los que se incluyen:  la independencia de la administración,  la objetividad en el análisis,  la integridad y la conducta ética,  la diligencia profesional,  la competencia adecuada para dirigir actividades asignadas, incluidas las credenciales profesionales generalmente aceptadas que son compatibles con la función,  la transparencia de las prácticas y actividades, y  la integración periódica de nuevos miembros en la estructura de supervisión para garantizar nuevas perspectivas. O2.1.02  Definir las responsabilidades generales de supervisión respecto a:  dirigir y autorizar el fin y los resultados esperados de GRC.  establecer estatutos para la participación del directorio (y otra estructura de supervisión) en el sistema,  estar informado del diseño y funcionamiento del sistema,  lograr un grado de seguridad sistemático que el sistema es eficaz y  entregar un grado de seguridad razonable a las declaraciones de la administración sobre la entidad y el sistema, con información elaborada en forma independiente de la administración. O2.1.03  Definir la responsabilidad de los aspectos operativos de GRC que requieren la perspectiva e independencia del directorio, incluyendo:  verificando y guiando los resultados deseados del sistema para que sean consistentes con los objetivos del negocio,  estableciendo la supervisión de la gestión de riesgo por parte del directorio o un comité designado, incluyendo una autorización y revisión periódica de los procesos de gestión de riesgo,  estableciendo el apetito y la tolerancia al riesgo, y revisando regularmente los informes de riesgo para asegurar la conformidad con los niveles establecidos,  evaluando de manera independiente, verificando la evaluación, y monitoreando los riesgos de mayor prioridad,  exigiendo a la administración identificar, evaluar y abordar los riesgos como parte de cualquier propuesta importante de cambio,  exigiendo al auditor interno o externo la evaluación de la eficacia y desempeño de la gestión de riesgo y los procesos de cumplimiento,  monitoreando las actividades de control dirigidas por la alta gerencia,  monitoreando la evasión de las actividades de control por parte de la administración,  entregando una exención a las exigencias del sistemas en determinadas circunstancias, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 

seleccionando, evaluando, compensando y desvinculando a la alta gerencia, y abordando problemas de largo plazo que puede que superen la permanencia de los altos ejecutivos en sus cargos.

O2.1.04  Definir las responsabilidades específicas de GRC que tienen los miembros y comités del directorio. O2.1.05  Definir las descripciones de cargos y criterios para la evaluación de desempeño del personal en roles de supervisión. O2.1.06  Verificar los antecedentes del personal contratado o ascendido a funciones de supervisión. O2.1.07  Definir y entregar un plan de capacitación especializado para el personal en roles de supervisión que incluya partes relevantes del curso sobre fundamentos de GRC de OCEG. O2.1.08  Asegurar que el personal supervisor obtenga y mantenga credenciales profesionales que sean pertinentes para sus funciones de GRC.

O2 FUNCIONES

O2.2 DEFINIR E IMPLEMENTAR LAS FUNCIONES Y RESPONSABILIDAD DE LA ADMNISTRACIÓN Definir las funciones, atribuciones y responsabilidades de la administración respecto a ciertos aspectos de GRC. Subprácticas Principales O2.2.01  Definir la responsabilidad de los aspectos operativos de GRC que exigen la perspectiva e independencia del directorio, incluido:  verificando y guiando los objetivos del negocio para que sean consistentes con los resultados deseados del sistema,  evaluando de manera independiente, o verificando la evaluación, y monitoreo de los riesgos de mayor prioridad,  monitoreando las actividades de control dirigidas por la alta gerencia,  monitoreando la evasión de las actividades de control por parte de la alta gerencia,  entregando una exención a las exigencias del sistema en determinadas circunstancias,  seleccionando, evaluando, compensando y desvinculando a la alta gerencia, y  abordando los problemas de largo plazo que puede que superen la permanencia de los altos ejecutivos en sus cargos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O2.2.02  Definir las responsabilidades específicas de GRC para funciones de administración, entre las que se incluyen las siguientes:  El gerente general es responsable cargo de apoyar o conducir la implementación de GRC,  El gerente de finanzas es responsable de autorizar y fiscalizar la asignación de recursos y presupuestos, y participar en el proceso de evaluación de riesgo,  El gerente de riesgo es responsable de elaborar el marco para la optimización del riesgo, y agregar y analizar el riesgo a nivel de empresa,  El gerente de cumplimiento está a cargo de conducir el proceso para la evaluación de riesgo de cumplimiento, y fiscalizar el diseño e implementación de un programa de cumplimiento destinado a prevenir, detectar y corregir el incumplimiento legal,  El gerente de ética está a cargo de evaluar y mejorar la cultura ética por medio de la capacitación, comunicación y otros controles (con frecuencia se combina con el gerente de cumplimiento), y  El gerente legal está a cargo de conducir el proceso para la evaluación del riesgo legal, aprobando políticas y controles para garantizar el cumplimiento de exigencias legales y asegurar que no se generen contingencias legales, fiscalizar y algunas veces realizar investigaciones, lo que garantiza la protección del secreto profesional, si procede.  El gerente de recursos humanos es responsable de fiscalizar e implementar los incentivos y controles del capital humano, las prácticas de liderazgo ético, la incorporación de exigencias en las descripciones de cargos y evaluaciones de desempeño, las comunicaciones con los stakeholders internos y, posiblemente, todos los incentivos relativos a la educación y capacitación.  El gerente de tecnología es responsable de coordinar la selección y aplicación de tecnologías para apoyar la funciones de GRC. O2.2.03  Definir las descripciones de cargos y los criterios para la evaluación del rendimiento relacionado con GRC para la administración de las funciones de GRC. O2.2.04  Verificar los antecedentes del personal de administración contratado o ascendido a cargos con autoridad considerable o funciones de GRC. O2.2.05  Definir y ejecutar un plan de capacitación especializado de GRC para la administración que incluya partes relevantes del curso sobre fundamentos de GRC de OCEG. O2.2.06  Asegurar que la administración obtenga y mantenga credenciales profesionales pertinentes para sus responsabilidades de GRC. O2 FUNCIONES

O2.3 DEFINIR E IMPLEMENTAR LAS FUNCIONES Y RESPONSABILIDAD DE LIDERAZGO Definir las personas que se desempeñarán en funciones de liderazgo para promover GRC o ciertos aspectos del sistema y establecer métodos para garantizar que posean el carácter ético deseado. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

Subprácticas Principales O2.3.01  Identificar y seleccionar a personas en varios niveles de la entidad para desempeñarse como líderes y promotores de GRC. O2.3.02  Definir las responsabilidades de los líderes y promotores para:  romper barreras al cambio,  generar convencimiento y compromiso con GRC, y  comunicar los resultados deseados del sistema y cómo se relacionan con los objetivos del negocio. O2.3.03  Establecer y comunicar un conjunto definido de aspectos éticos y de carácter esenciales, con los cuales los líderes y ejecutivos han hecho un compromiso y se requieren de los líderes. O2.3.04  Verificar los antecedentes de los líderes y promotores de GRC respecto a cualquier incongruencia con el hecho de ser un líder ético (por ejemplo, mala conducta previa) y para asegurar alineamiento con la ética de carácter que se requiere de los líderes. O2.3.05  Participar regularmente en conversaciones con líderes sobre los valores que se espera que demuestren y establecer expectativas sobre cómo estos valores se compartirán, seguirán y monitorearán, al igual que cómo se remediarán las fallas y hechos que menoscaban la confianza. O2.3.06  Definir y entregar un plan de estudio especializado para los líderes que incluya las partes pertinentes del curso sobre fundamentos de GRC de OCEG.

O2 FUNCIONES

O2.4 DEFINIR E IMPLEMENTAR LAS FUNCIONES OPERATIVAS DE GRC Definir las funciones que se necesitan para presentar, operar y ejecutar las prácticas de GRC. Subprácticas Principales O2.4.01  Definir las funciones que están a cargo de las siguientes actividades clave de GRC:  metodología, política, procedimiento, normas, desarrollo y mantención de glosario,  identificación, análisis y optimización de riesgos y exigencias,  implementación de iniciativas y administración de las carteras de proyectos, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

      

relaciones con los stakeholders, canal de Consultas (helpline) y canal de denuncias (hotline), investigación y resolución, medición del desempeño, comunicaciones, incluidas las relaciones públicas, administración de la información y tecnología.

O2.4.02  Definir las descripciones de cargos y los criterios para la evaluación del desempeño pertinentes a cada función operativa de GRC. O2.4.03  Verificar los antecedentes del personal contratado, trasladado o ascendido a funciones operativas de GRC. O2.4.04  Definir y entregar un plan de capacitación especializado para las funciones operativas de GRC que incluya partes pertinentes del curso sobre fundamentos de GRC de OCEG. O2.4.05  Monitorear si el personal operativo ha obtenido y mantiene credenciales profesionales pertinentes para sus funciones de GRC.

O2 FUNCIONES

O2.5 DEFINIR E IMPLEMENTAR LAS FUNCIONES Y RESPONSABILIDAD DE ASEGURAMIENTO Definir las funciones, responsabilidades y autoridad de aseguramiento para ciertos aspectos de GRC (por ejemplo, el gerente de auditoría y el auditor externo) Subprácticas Principales O2.5.01  Definir los atributos más importantes del personal de aseguramiento, entre los que se incluyen los siguientes:  la independencia respecto de la administración,  la objetividad en el análisis,  la integridad,  la diligencia,  la competencia adecuada para dirigir las actividades asignadas, incluidas las credenciales profesionales generalmente aceptadas que son compatibles con la función, y  el acceso directo y sin restricciones al directorio por parte del ejecutivo superior a cargo de funciones de aseguramiento independiente. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O2.5.02  Definir las responsabilidades generales del personal de aseguramiento con el objetivo de entregar evidencia independiente al Directorio y la administración respecto a que:  los riesgos y exigencias (externos e internos) son identificados, evaluados, gestionados, reportados y monitoreados por medio de métodos eficaces,  cuentan con información de calidad necesaria para tomar decisiones sobre GRC y disminuir costos de control,  el diseño de GRC es apropiado para abordar los riesgos y exigencias identificadas,  el proceso de gestión de riesgos está diseñado para identificar, evaluar, administrar, reportar y monitorear un conjunto exhaustivo de riesgos (y exigencias) para lograr los objetivos de la entidad respetando sus valores, y  el funcionamiento de GRC corresponde a lo que se diseñó. O2.5.03  Definir descripciones de cargos y criterios para la evaluación del desempeño del personal de las funciones de aseguramiento. O2.5.04  Verificar los antecedentes del personal contratado o ascendido a funciones de aseguramiento. O2.5.05  Definir y entregar un plan de capacitación especializado para el funciones de aseguramiento que incluya las partes pertinentes del curso sobre fundamentos de GRC de OCEG.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O3 RESPONSABILIDAD

O1 Compromiso O2 Funciones O3 Responsabilidad

Definir un enfoque para incorporar, integrar y alinear GRC con el negocio, y establecer la responsabilidad de cada aspecto del sistema.

Principios 01 El grado de integración en todas las áreas de riesgo y con los procesos de negocio actuales variará tomando como base las necesidades de la entidad. 02 Al consolidar las responsabilidades en una sola función, instaurar controles para asegurarse que la consolidación no ponga en peligro la objetividad e independencia necesarias. 03 Los conflictos de interés irreconciliables o mandatos legales pueden impedir la consolidación de las responsabilidades en una sola función.

Factores Críticos de Éxito 01 Elaborar y mantener un caso de negocios para GRC con recursos adecuados para lograr sus metas. 02 Agregar y segregar bien las funciones. 03 Identificar y manejar la posible resistencia a cualquier cambio que pueda llevar implícita o requerir GRC. 04 Establecer líneas jerárquicas claras y un fuerte intercambio de conocimientos entre departamentos.

Lineamientos y Prácticas O3.1 Asignar responsabilidad a Individuos y Comités. O3.2 Definir los procesos de GRC e integrarlos con los procesos de negocio. O3.3 Definir el enfoque de medición y evaluación. O3.4 Definir el enfoque para la gestión del cambio organizacional. O3.5 Elaborar, mantener y autorizar un caso de negocio.

Entregables Clave Autorizaciones Autorización Interna y Segregación de Funciones Planes Plan Estratégico de GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O3 RESPONSABILIDAD

O3.1 ASIGNAR RESPONSABILIDAD A LAS PERSONAS Y COMITÉS Asignar las funciones y responsabilidades de GRC a las personas y comités.

Subprácticas Principales O3.1.01  Asignar responsabilidades a empleados y comités con otras funciones básicas, si hacerlo así agrega sinergias y eficiencias, y al mismo tiempo de asegura la objetividad e independencia necesarias. O3.1.02  Segregar ciertas funciones de la siguiente manera:  las funciones que tienen un interés en revelar conductas indebidas y las debilidades (cumplimiento y auditoría interna) de las que tienen un interés en proteger a la entidad desde el punto de vista legal (asesor legal general),  las funciones que tienen un interés en revelar la conductas indebidas y las debilidades (cumplimiento y auditoría interna) de las que tienen un interés en los objetivos e incentivos trimestrales del desempeño del negocio dado que pueden comprometer la objetividad,  las funciones que implican implementar y operar controles preventivos y de detección (finan zas y cumplimiento) de las que evalúan la eficacia de esos controles y estructuras (auditoría interna), y  las funciones que participan en investigaciones de conductas indebidas y debilidades de los individuos que están o estarían posiblemente involucrados en dichas conductas, y de aquellos que tienen relación jerárquica directa con dichas personas. O3.1.03  Diseñar líneas de reporte adecuadas para asegurar que se respetan la independencia y objetividad necesarias, lo cual incluye garantizar que:  los empleados encargados de manejar el riesgo de cumplimiento tengan acceso directo al directorio y  los encargados de las funciones de aseguramiento tengan acceso directo al directorio O3.1.04  Elaborar y proponer una estructura organizacional de GRC que permita informar objetivamente los resultados. O3.1.05  Verificar y aprobar la estructura de GRC propuesta con quienes desempeñarían funciones clave de GRC. O3.1.06  Finalizar y documentar la estructura de GRC, incluidas las líneas jerárquicas de reporte, en el pl an estratégico de GRC. O3.1.07  Obtener la aprobación del plan organizacional de parte de la autoridad pertinente.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

O3 RESPONSABILIDAD

O3.2 DEFINIR LOS PROCESOS DE GRC E INTEGRARLOS CON LOS PROCESOS DE NEGOCIO Definir los procesos de GRC y sincronizarlos con los procesos de negocio existentes. Subprácticas Principales O3.2.01  Definir el modelo de procesos de GRC. O3.2.02  Definir cómo y cuándo los procesos clave de GRC se ejecutarán respecto a los procesos de negocio existentes, incluido:  cuándo se ejecutarán las evaluaciones de riesgo y se integrarán a las actividades de planificación del negocio existentes,  cómo las actividades preventivas, de detección y correctivas se integrarán a los procesos de negocio existentes,  cómo se utilizará la información de GRC en conjunto con la información del negocio para evaluar el desempeño,  cómo la información de GRC (interna y externa) se integrará a los canales de comunicación y la emisión de informes ya existentes,  cuándo se realizará el monitoreo de GRC y se sincronizará con las actividades de monitoreo del desempeño existentes, y  cómo la tecnología que soporta GRC se beneficiará de las aplicaciones e infraestructura existente. O3.2.03  Crear un calendario unificado para los procesos clave de GRC y los correspondientes procesos de negocio.

O3 RESPONSABILIDAD

O3.3 DEFINIR EL ENFOQUE DE MEDICIÓN Y EVALUACIÓN Definir un enfoque para medir y evaluar la eficacia, eficiencia y capacidad de reacción de GRC. Subprácticas Principales O3.3.01  Refinar los resultados deseados de GRC para asegurarse que sean factibles de ser medidos o evaluados. O3.3.02  Asignar la responsabilidad de lograr los resultados de GRC al personal clave. O3.3.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Diseñar informes para la alta gerencia y el Directorio. O3.3.04  Definir el programa de evaluación continua y periódica de GRC. O3.3.05  Definir los objetivos y umbrales de cada indicador de medición y los hitos de madurez.

O3 RESPONSABILIDAD

O3.4 DEFINIR EL ENFOQUE PARA LA GESTIÓN DEL CAMBIO ORGANIZACIONAL Definir un enfoque para preparar a la entidad en caso de cambios que GRC pueda requerir en las personas, procesos y tecnología. Subprácticas Principales O3.4.01  Identificar áreas clave donde GRC puede afectar significativamente las unidades de negocio, departamentos, personas, relaciones con los stakeholders, procesos y tecnología existentes. O3.4.02  Evaluar el grado de preparación de las áreas clave afectadas y la entidad para integrar los cambios. O3.4.03  Definir los planes específicos para la gestión del cambio para abordar los desafíos y riesgos que se prevén.

O3 RESPONSABILIDAD

O3.5 ELABORAR, MANTENER Y AUTORIZAR UN CASO DE NEGOCIOS Elaborar un caso de negocios para GRC y obtener la autorización de la alta gerencia y el Directorio. Subprácticas Principales O3.5.01  Crear un plan estratégico y un caso de negocios que resuma:  los resultados deseados de GRC,  por qué es necesario y cómo agregar valor,  cómo será estructurado, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

    

cómo será provisto de personas, financiamiento y tecnología, cómo se relaciona con los objetivos del negocio y el modelo operativo que ya existe, cuándo se implementarán los componentes, elementos, procesos, prácticas y tecnología que soporta el sistema, cómo se medirá el desempeño, y cómo se entregará el aseguramiento.

O3.5.02  Obtener la autorización de la alta gerencia y el Directorio. O3.5.03  Obtener el financiamiento para el enfoque.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A ANALIZAR - EVALUAR

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Identificar oportunidades, amenazas y exigencias; evaluar el nivel de riesgo, retorno y cumplimiento; y alinear un enfoque para lograr de manera confiable los objetivos y, al mismo tiempo, abordar la incertidumbre y actuar con integridad. A1 Identificación A1.1 Revisar los objetivos, procesos y recursos del negocio. A1.2 Identificar las fuentes y fuerzas externas. A1.3 Identificar las fuentes y fuerzas internas. A1.4 Identificar oportunidades y amenazas. A1.5 Identificar exigencias obligatorias y voluntarias. A16 Identificar interrelaciones y tendencias. A1.7 Realizar un análisis de alto nivel de los riesgos y las retribuciones. A1.8 Realizar un análisis de alto nivel del efecto y conformidad con las exigencias. A1.9 Asignar responsabilidad para monitorear los cambios.

A2 Análisis A2.1 Analizar el enfoque de las exigencias. A2.2 Analizar el riesgo y retribución inherentes. A2.3 Analizar los enfoques actuales del riesgo y retribución. A2.4 Determinar el riesgo y retribución residual actual. A2.5 Priorizar las amenazas, las oportunidades y las exigencias.

A3 Planificación A3.1 Explorar las alternativas para abordar las exigencias. A3.2 Explorar las alternativas para abordar el riesgo y la retribución. A3.3 Determinar el riesgo, la retribución residuales planificados y la conformidad. A3.4 Abordar el riesgo inherentemente alto. A3.5 Establecer indicadores clave. A3.6 Elaborar un plan integrado.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1 Identificación A2 Análisis A3 Planificación

Identificar las fuerzas que pueden causar efectos deseables (oportunidades) o indeseables (amenazas) en el logro de los objetivos del negocio, al igual que las que pueden forzar al negocio a dirigirse de una manera en particular (exigencias).

Principios 01 Dados los recursos limitados, el proceso de identificación d ebería centrarse en los objetivos, procesos y recursos clave del negocio. 02 La participación ascendente (Bottom-up) del personal y los gerentes de líneas ayuda a recolectar información sobre lo que “realmente pasa” en el negocio y las amenazas, oportunidades y exigencias reales que enfrentan el personal y los agentes. 03 Categorizar las amenazas, oportunidades y exigencias puede ayudar a estructurar el proceso de identificación y asegurar que se genere uniformidad en toda la entidad. 04 La amenazas, oportunidades y exigencias rara vez se clasifican en categorías en particular, y tienden a ser multifacéticas, de tal manera que la administración debería utilizar varias técnicas de identificación.

Factores Críticos de Éxito 01 Identificar las fuerzas externas e internas que impulsan las amenazas, oportunidades y exigencias. 02 Designar al personal específico para monitorear las fuerzas externas e internas. 03 La identificación debe ser continua para detectar cambios de manera oportuna.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model A1.1 Revisar los objetivos, procesos y recursos del negocio. A1.2 Identificar las fuentes y fuerzas externas. A1.3 Identificar las fuentes y fuerzas internas. A1.4 Identificar oportunidades y amenazas. A1.5 Identificar exigencias obligatorias y voluntarias. A1.6 Identificar interrelaciones y tendencias. A1.7 Realizar un análisis de alto nivel de los riesgos y el retorno. A1.8 Realizar un análisis de alto nivel del efecto y conformidad con las exigencias. A1.9 Asignar responsabilidad para monitorear cambios.

Entregables Clave

Matrices Matriz de Riesgos Priorizados

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1.1 REVISAR LOS OBJETIVOS, PROCESOS Y RECURSOS DEL NEGOCIO Identificar y revisar los objetivos, procesos y recursos clave del negocio que son pertinentes dado el alcance de GRC (por ejemplo, si el alcance corresponde a la entidad completa, entonces todos los objetivos, procesos y recursos del negocio son pertinentes; si el alcance corresponde a un solo departamento, entonces un subconjunto de objetivos, procesos y recursos del negocio es pertinente). Subprácticas Principales A1.1.01  Revisar los objetivos del negocio y determinar cuáles son pertinentes dado el alcance actual. A1.1.02  Identificar las líneas clave del negocio y las entidades organizacionales. A1.1.03  Identificar los proyectos, programas e iniciativas especiales clave. A1.1.04  Identificar los procesos clave. A1.1.05  Identificar los recursos clave, entre los que se incluyen: las personas, el capital, la información, la tecnología, las instalaciones y otros.

A1 IDENTIFICACIÓN

A1.2 IDENTIFICAR LAS FUENTES Y FUERZAS EXTERNAS Imaginar e identificar fuentes y fuerzas externas que pueden generar una exigencia o causar un efecto deseable o indeseable en los objetivos. Subprácticas Principales A1.2.01  Identificar las fuentes y fuerzas políticas, incluidos:  los cambios políticos,  los partidos y favoritismos políticos,  el control político de recursos o industrias nacionales y  la inquietud pública. A1.2.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Identificar fuentes y fuerzas económicas, entre las que se incluyen:  los cambios en los indicadores macroeconómicos,  las variaciones en el ingreso disponible y el poder adquisitivo,  las tasas de interés,  las fluctuaciones de la moneda, y  los ciclos económicos. A1.2.03  Identificar las fuentes y fuerzas sociales entre las que se incluye:  el cambio demográfico,  los cambios de estilo de vida,  el cambio mundial de la cultura y subculturas,  los cambios en la expectativa de vida,  los cambios en los valores y preferencias de la sociedad,  las actitudes hacia el trabajo, la vida y el ocio, y  las creencias religiosas y seculares. A1.2.04  Identificar las fuentes y fuerzas tecnológicas entre las que se incluye:  la velocidad de cambio,  la disponibilidad y el costo de los recursos computacionales, la información y la comunicación,  los nuevos procesos y materiales industriales, y  los cambios en el transporte y la distribución. A1.2.05  Identificar las fuentes y fuerzas legales entre las que se incluye:  actuales y potenciales nuevas leyes, reglas y normas,  los matices internacionales y posible conflicto en las exigencias,  las tendencias en la aplicación, y  las tendencias en los litigios civiles y relacionados. A1.2.06  Identificar las fuentes y fuerzas medioambientales entre las que se incluye las inundaciones, los incendios o los terremotos. A1.2.07  Identificar las fuentes y fuerzas de stakeholders externos entre las que se incluye:  los clientes,  los medios de información,  el gobierno,  los socios comerciales y  la sociedad. A1.2.08  Identificar las fuentes y fuerzas de la competencia entre las que se incluyen:  el aumento de las capacidades competitivas, y  la conducta poco ética incluidos el fraude y otros delitos dirigidos en la entidad. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1.3 IDENTIFICAR LAS FUENTES Y FUERZAS INTERNAS Imaginar e identificar fuentes y fuerzas internas que pueden generar una exigencia o causar un efecto deseable o indeseable en los objetivos. Subprácticas Principales A1.3.01  Identificar las fuentes y fuerzas del modelo de negocio entre las que se incluyen:  los cambios en la misión, visión y valores,  los cambios en los objetivos del negocio, y  los cambios en las estrategias y estructura del negocio. A1.3.02  Identificar las fuentes y fuerzas del capital humano entre las que se incluye:  los cambios en el directorio,  los cambios en la alta gerencia y  los cambios en el personal. A1.3.03  Identificar las fuentes y fuerzas de los procesos internos entre las que se incluyen:  los cambios en los procesos de negocio,  la habilidad de abordar una demanda por debajo o sobre la capacidad,  la habilidad de ejecutar según el plan, y  la dependencia de contratistas y proveedores externos. A1.3.04  Identificar las fuentes y fuerzas tecnológicas internas entre las que se incluye:  los cambios en la infraestructura de TI,  la integridad de los datos,  la disponibilidad de los datos y el sistema, y  las capacidades para implementar y sustentar los sistemas. A1.3.05  Identificar las fuentes y fuerzas económicas internas entre las que se incluye:  los cambios en las reservas de capital,  los cambios en las tasas de rentabilidad exigidas y  los cambios en la disponibilidad de capital.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1.4 IDENTIFICAR OPORTUNIDADES Y AMENAZAS Dadas las fuentes y fuerzas, identificar las oportunidades y amenazas que afectan el logro de los objetivos. Las oportunidades son hechos y condiciones que, en última instancia, contribuyen al retorno (constituye una medición del efecto deseable de la incertidumbre en los objetivos), mientras que las amenazas son hechos y condiciones que, en última instancia, contribuyen al riesgo (el cual constituye una medición del efecto indeseable de la incertidumbre en los objetivos). Subprácticas Principales A1.4.01  Identificar las oportunidades, las cuales son hechos y condiciones que, en última instancia, contribuyen al retorno (la cual constituye una medición de la probabilidad, oportunidad y efecto positivo de un hecho en el logro de los objetivos). A1.4.02  Identificar las amenazas, las cuales con hechos y condiciones que, en última instancia, contribuyen al riesgo (el cual constituye una medición de la probabilidad, oportunidad y efecto negativo de un hecho en el logro de los objetivos), entre las que se incluyen las amenazas que afectan:  la salud y la seguridad,  la economía, por ejemplo los cambios indeseables en los precios de las acciones e índices, tasas de interés, tipo de cambio, precios de productos básicos, pagos de clientes o deudores, clasificación crediticia de clientes o deudores y liquidez de clientes o deudores,  la continuidad del negocio, por ejemplo el terrorismo o un desastre,  las operaciones comerciales, por ejemplo prohibiciones o restricciones de actividades específicas,  el prestigio y reputación, por ejemplo la mala calidad de los productos, la mala conducta de los empleados, el cohecho, el fraude, la corrupción (el soborno), el acoso y el comportamiento intimidante, la injuria delictiva, etc., Considerar las amenazas que se producen de fuentes y fuerzas tales como:  procesos y recursos no alineados, y  la no disponibilidad de recursos. A1.4.03  Para comprender las oportunidades y amenazas, utilizar varias técnicas que para visualizar los procesos y recursos desde diferentes puntos de vista, entre los que se incluye:  mapa de procesos, la representación gráfica de los procesos que despliega todos los procesos clave e identifica las áreas donde las fuentes y fuerzas pueden generar oportunidades o amenazas;  mapa de recursos, la representación gráfica de los recursos que despliega todos los recursos clave (financieros, humanos, tecnológicos, instalaciones, información, etc.) e identifica cómo las fuentes y fuerzas pueden generar oportunidades o amenazas; y  inventario de eventos, listados detallados de hechos y condiciones que resultan comunes en las entidades en un sector, una zona geográfica o un modelo operativo en particular.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1.5 IDENTIFICAR EXIGENCIAS OBLIGATORIAS Y VOLUNTARIAS Dadas las fuentes y fuerzas, identificar las exigencias obligatorias y voluntarias que se deben abordar. Subprácticas Principales A1.5.01  Identificar los aspectos clave de cumplimiento legal que son pertinentes para la entidad, como por ejemplo:  empleo,  administración, privacidad y seguridad de la información,  salud y seguridad medioambiental,  prácticas extranjeras de corrupción,  antimonopolio,  contratación del gobierno y  exigencias regulatorias de la industria. A1.5.02  Identificar las exigencias legales explícitas y derivadas que son pertinentes para la entidad, incluidas las contenidas en:  leyes, reglas y normas,  jurisprudencia administrativa,  jurisprudencia judicial,  contratos y  conciliaciones u órdenes de consentimiento y acuerdos de integridad. A1.5.03  Identificar otras exigencias externas explícitas y derivadas que posiblemente sean pertinentes para la entidad, entre las que se incluyen las contenidas en:  normas sobre conducta segura,  normas internacionales, nacionales y de la industria,  obligaciones con asociaciones profesionales,  obligaciones con la admisión a cotización en la bolsa de valores,  procesamiento, aplicación de leyes o normas, multas y pautas para la imposición de la sentencia,  prácticas habituales en la industria, y  prácticas habituales en la zona geográfica y cultura nacional. A1.5.04  Identificar exigencias internas explícitas y derivadas estipuladas en:  la misión, visión y valores,  el código de conducta,  las políticas y  los procedimientos establecidos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1 IDENTIFICACIÓN

A1.6 IDENTIFICAR LAS INTERRELACIONES Y TENDENCIAS Identificar cómo las oportunidades, amenazas y exigencias se relacionan entre sí y cuáles han sido las tendencias interna y externamente con pares de la industria. Subprácticas Principales A1.6.01  Identificar cómo ha sido la tendencia en cuanto a probabilidad e impacto de cada evento en la entidad. A1.6.02  Identificar cómo ha sido la tendencia en cuanto a la probabilidad e impacto de cada evento en organizaciones similares y en la industria. A1.6.03  Identificar cómo cambian la probabilidad, la oportunidad y el impacto cuando ocurren eventos repetidos o correlacionados.

A1 IDENTIFICACIÓN

A1.7 REALIZAR UN ANÁLISIS DE ALTO NIVEL DEL RIESGO Y EL RETORNO Realizar un análisis de alto nivel del riesgo y del retorno inherente y residual (actual y planificado), con el objetivo de priorizar y analizar en detalle los elementos más relevantes. Subprácticas Principales A1.7.01  El riesgo es una medición de la probabilidad, oportunidad e impacto negativo de un evento en el logro de los objetivos. A1.7.02  El retorno es una medición de la probabilidad, oportunidad y efecto positivo de un evento en el logro de los objetivos. A1.7.03  Tanto el riesgo como el retorno se deben considerar juntos, ya que se compensan entre sí.

A1 IDENTIFICACIÓN Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A1.8 REALIZAR UNA ANÁLISIS DE ALTO NIVEL DEL EFECTO Y CONFORMIDAD CON LAS EXIGENCIAS Realizar un análisis de alto nivel del nivel inherente, actual y planificado de la conformidad con las exigencias, incluido un análisis económico general, de tal manera que se prioricen los elementos más relevantes en un análisis futuro más detallado. Subprácticas Principales A1.8.01  La conformidad es una medición del grado en que una exigencia se ha cumplido, con frecuencia expresado en términos absolutos (sí o no). A1.8.02  Un análisis económico general ayuda a comprender los elementos importantes de las exigencias obligatorias y voluntarias.

A1 IDENTIFICACIÓN

A1.9 ASIGNAR RESPONSABILIDAD PARA MONITOREAR LOS CAMBIOS Asignar responsabilidad para monitorear las fuentes implícitas que pueden conducir a eventos y condiciones que afecten positiva o negativamente los objetivos. Subprácticas Principales A1.9.01  Asignar responsabilidad para monitorear e identificar los cambios en los factores internos que modifiquen o signifiquen riesgos, entre los que se incluyen:  las fusiones y adquisiciones,  el desarrollo de nuevos productos,  la expansión a nuevos mercados,  nuevos contratos o compromisos voluntarios,  los cambios de personal clave o de la administración y  los cambios al proceso de negocio. A1.9.02  Asignar responsabilidad para monitorear e identificar los cambios en los factores externos que modifiquen o signifiquen riesgos, entre los que se incluye:  los hechos y ciclos macroeconómicos,  nuevas leyes, reglas o normas,  los cambios en el clima normativo,  los peligros naturales o para la salud,  los hechos y cambios políticos,  los cambios en las actitudes y percepciones de la sociedad, y  los cambios en las actitudes, percepciones y expectativas de los stakeholders. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A2 ANÁLISIS

A1 Identificación A2 Análisis A3 Planificación

Analizar el enfoque actual y planificado para abordar las oportunidades, las amenazas y las exigencias, de tal manera que el nivel actual, residual, e inherente de riesgo, retorno y conformidad sea aceptable.

Principios 01 Utilizar un análisis descendente (top-down) y el input de la alta gerencia para determinar el alcance de las actividades de análisis de riesgo, pero también recurrir a información ascendente (bottom -up) de personas que se encuentran “en el sitio” para garantizar que el proceso de análisis de riesgo co nsidere la realidad operativa de la organización. 02 Utilizar los criterios de riesgo (capacidad de riesgo, tolerancia al riesgo y apetito al riesgo) para determinar si el riesgo actual residual es aceptable o no. 03 Documentar el análisis de riesgo para que otros puedan usarlo con otros fines, como por ejemplo actividades de auditoría y de aseguramiento. 04 Analizar los criterios de riesgo y riesgo inherente, de tal manera que la administración pueda racionalizar la asignación actual y futura de recursos, tomando como base el nivel implícito de riesgo, y para que estos riesgos se administren en la medida adecuada.

Factores Críticos de Éxito 01 Utilizar metodologías consistentes para analizar y categorizar los riesgos a través de todos los silos. 02 No usar ambas técnicas de análisis de riesgo, descendente (top-down) y ascendente. 03 No usar ambas técnicas de análisis de riesgo, cuantitativo y cualitativo. 04 No analizar el riesgo inherente y residual actual.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model A2.1 Analizar el enfoque hacia las exigencias. A2.2 Analizar el riesgo/retorno inherentes. A2.3 Analizar los enfoques de riesgo/retorno actuales. A2.4 Determinar el riesgo/retorno residual actual. A2.5 Priorizar las amenazas, oportunidades y exigencias.

Entregables Clave Matrices Matriz de Riesgos Priorizados

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A2 ANÁLISIS

A2.1 ANALIZAR EL ENFOQUE HACIA LAS EXIGENCIAS Analizar las medidas y controles actuales y planificados para abordar las exigencias, incluidos los costos. Subprácticas Principales A2.1.01  Identificar los controles existentes para abordar las exigencias y determinar si cumplen con los niveles planificados de conformidad.

A2 ANÁLISIS

A2.2 ANALIZAR EL RIESGO/RETORNO INHERENTES Analizar los efectos de las amenazas y las oportunidades sin considerar las medidas o controles actuales. Subprácticas Principales A2.2.01  Analizar la probabilidad de que un riesgo se materialice incluyendo la identificación de posibles:  eventos individuales o múltiples, y  eventos a corto o largo plazo. A2.2.02  Analizar la velocidad de impacto y fuerza una vez que se materializa el riesgo. A2.2.03  Analizar la relación con otros riesgos. A2.2.04  Utilizar la historia de la entidad y empresas similares (tomando como base la industria, escala la zona geográfica, las actividades comerciales y el personal) para analizar la vulnerabilidad, considerando la probabilidad y el impacto. A2.2.05  Prestar atención especial a los riesgos inherentes altos, ya que sin importar qué tan bien se les controle, pueden tener impacto devastador. Además, se debería tener un cuidado especial para asegurar que se encuentran las correspondientes medidas y controles. A2.2.06  Agregar a la matriz de riesgos priorizados una sinopsis del análisis de riesgos inherentes. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A2 ANÁLISIS

A2.3 ANALIZAR LOS ENFOQUES ACTUALES DE RIESGO/RETORNO Identificar la existencia de medidas y controles actuales, y verificar su eficacia para abordar el efecto de las amenazas y las oportunidades. Subprácticas Principales A2.3.01  Identificar y evaluar las medidas actuales que:  ACEPTAN el riesgo a nivel residual actual,  EVITAN el riesgo y cesan las actividades (o cambian las exigencias) que dan origen al riesgo,  COMPARTEN el efecto u optimización del riesgo con otras entidades, incluido el uso de financiamiento del riesgo, o  TRANSFIEREN el riesgo a otro socio comercial (por medio de negocios conjuntos o estructuras de financiamiento del riesgo),  DISMINUYEN la probabilidad del riesgo implementando incentivos, controles y otras actividades que evitan o reducen la probabilidad que se realicen actividades que no se desean, o bien  DISMINUYEN el impacto detectando y reaccionando más rápidamente frente la actividad que no se desea, o evitando riesgos al acelerar a niveles de alto impacto. A2.3.02  Identificar y evaluar las medidas actuales para abordar el riesgo incluido el uso de:  incentivos de conducta deseada,  controles preventivos, de detección y correctivos para abordar conductas o hechos no deseados,  identificación y manejo de problemas,  actividades de monitoreo,  políticas y procedimientos,  programas de educación y sensibilización, y  financiamiento del riesgo. A2.3.03  Identificar y evaluar quién, y qué departamento, está a cargo de manejar cada medida:  funciones de línea, departamentos y el personal,  departamentos y personal de gestión de riesgo, ética y cumplimiento,  departamentos y personal de aseguramiento, y  supervisión (Directorio). A2.3.04  Identificar gaps y duplicaciones innecesarias. A2.3.05  Agregar a la matriz de riesgos priorizados una sinopsis del enfoque actual para abordar el riesgo.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A2 ANÁLISIS

A2.4 DETERMINAR EL RIESGO/RETORNO RESIDUAL ACTUAL Determinar el nivel actual de riesgo/retorno residual considerando la existencia y eficacia de las medidas y controles actuales. Subprácticas Principales A2.4.01  Analizar el efecto de los enfoques actuales sobre la probabilidad, oportunidad e impacto efecto de cada riesgo o categoría de riesgo. A2.4.02  Determinar el costo de mantener los enfoques actuales. A2.4.03  Determinar el nivel de riesgo residual. A2.4.04  Agregar a la matriz de riesgos priorizados un análisis del riesgo residual actual.

A2 ANÁLISIS

A2.5 PRIORIZAR LAS AMENAZAS, OPORTUNIDADES Y EXIGENCIAS Priorizar y categorizar las amenazas, oportunidades y exigencias para determinar el enfoque y la asignación de recursos. Subprácticas Principales A2.5.01  Determinar las áreas donde no se abordan las exigencias o no se cumple con los niveles establecidos de conformidad. A2.5.02  Identificar riesgos prioritarios para mejorar o agregar medidas o controles adicionales, entre los que se incluye:  cuando el riesgo residual actual no es aceptable tomando como base el apetito de riesgo que presenta la entidad,  cuando el riesgo residual actual no es aceptable y se requiere tomar una medida inmediata,  cuando las medidas y controles actuales son ineficaces, contradictoriamente eficaces o ineficientes,  cuando un riesgo inherentemente alto exige medidas y controles que deben ser monitoreados constantemente, y  cuando los riesgos requieren planes de reacción frente a una crisis, como por ejemplo violencia en Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

el lugar de trabajo, desastres naturales y problemas importantes relacionados con el prestigio. A2.5.03  Asegurar que los riesgos inherentemente altos se aborden de manera específica, ya que cualquier interrupción en las medidas o controles existentes pueda generar un impacto importante en la entidad. A2.5.04  Agregar a la matriz de riesgos priorizados un análisis de priorización.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A3 PLANIFICACIÓN

A1 Identificación A2 Análisis A3 Planificación

Evaluar e implementar estrategias, tácticas, proyectos y otras medidas, de tal manera que sean aceptables los niveles de riesgo residual planificado, retorno y conformidad.

Principios 01 Riesgos inherentes altos deberían priorizarse junto con los riesgos residuales inaceptables. 02 Un enfoque por capas puede generar un uso más eficiente de los recursos y una optimización más eficaz en cuanto a los riesgos. 03 Si procede, integrar la gestión del desempeño, riesgo y cumplimiento, e incluirlos dentro de los principales procesos del negocio que ya existen.

Factores Críticos de Éxito 01 Monitorear los riesgos inherentes altos, independientemente del nivel de riesgo residual actual, de tal manera que la entidad no se exponga a un impacto catastrófico. 02 Asignar responsabilidad específica para implementar medidas y controles para asegurar continuidad. 03 Obtener la autorización y el financiamiento para el plan integrado para garantizar que se implemente.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model A3.1 Examinar alternativas para abordar las exigencias. A3.2 Examinar alternativas para abordar el riesgo/retorno. A3.3 Determinar el riesgo/retorno residual planificado y la conformidad. A3.4 Abordar el riesgo inherentemente alto. A3.5 Desarrollar indicadores clave. A3.6 Elaborar un plan integrado.

Entregables Clave Matrices Matriz de Riesgos Priorizados Planes Plan Integrado

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A3 PLANIFICACIÓN

A3.1 EXAMINAR ALTERNATIVAS PARA ABORDAR LAS EXIGENCIAS Cuando no es aceptable el nivel actual de conformidad, o cuando no son óptimos las medidas y controles existentes, examinar otras medidas y controles para abordar las exigencias. Subprácticas Principales A3.1.01  Diseñar medidas y controles para abordar gaps y duplicaciones innecesarias en la gestión de las exigencias. A3.1.02  Analizar los costos y beneficios de las medidas y controles propuestos.

A3 PLANIFICACIÓN

A3.2 EXAMINAR ALTERNATIVAS PARA ABORDAR EL RIESGO/RETORNO Cuando el riesgo residual actual es inaceptable o cuando se puede mejorar el enfoque actual, examinar medidas y controles alternativos para abordar el riesgo/retorno. Subprácticas Principales A3.2.01  Evaluar y seleccionar las medidas y controles incluidas las decisiones para aceptar, evitar, comp artir, transferir y disminuir. A3.2.02  Evaluar y seleccionar medidas y controles incluidos los que evitan, detectan y reaccionan ante hechos y condiciones que no se desean. A3.2.03  Diseñar un enfoque por capas para evitar la “tendencia hacia una sola respuesta” al optimizar los riesgos clave. A3.2.04  Identificar áreas donde la optimización de la táctica y actividades puede abordar más de un riesgo. A3.2.05  Diseñar actividades de optimización para que generen información que pueda utilizarse para monitorear. A3.2.06 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Si la alternativa básica para la optimización de riesgos para uno en particular demorará un tiempo para implementarse, definir las alternativas interinas de optimización de riesgos, entre las que se incluye considerar retrasar lo que genera el riesgo. A3.2.07  Estimar el costo relacionado con las actividades de optimización de riesgos planificadas y determinar si el costo es apropiado, considerando la priorización de riesgos y el nivel de optimización de los mismos.

A3 PLANIFICACIÓN

A3.3 DETERMINAR EL RIESGO/RETORNO Y LA CONFORMIDAD RESIDUAL Determinar el nivel de riesgo/retorno y conformidad que quedará después de que se establezcan y funcionen eficazmente las medidas y controles. Subprácticas Principales A3.3.01  Evaluar el riesgo residual planificado que se prevé cuando se instauren las alternativas propuestas. A3.3.02  Si no es aceptable el riesgo residual planificado, reconsiderar las alternativas. A3.3.03  Si es aceptable el riesgo residual planificado, implementar las alternativas seleccionadas. A3.3.04  Analizar los costos y beneficios de las actividades planificadas.

A3 PLANIFICACIÓN

A3.4 ABORDAR RIESGOS INHERENTES ALTOS Identificar las medidas y controles actuales y planificados que específicamente abordan riesgos inherentes altos y, que si dejan de funcionar eficazmente, expondrán a la entidad a niveles inaceptables de riesgo. Subprácticas Principales A3.4.01  Identificar las actividades de optimización que actualmente se encuentran instauradas o planificadas para abordar los riesgos inherentes altos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A3.4.02  Diseñar otras actividades de monitoreo para asegurar que estas actividades de optimización sigan siendo eficaces y funcionen según lo planeado. A3.4.03  Agregar a la matriz de riesgos priorizados las actividades de optimización de riesgo planificados y el análisis de riesgo residual planificado. A3.4.04  Incluir estos riesgos y actividades de optimización en los planes de aseguramiento.

A3 PLANIFICACIÓN

A3.5 ESTABLECER INDICADORES CLAVE Establecer indicadores clave que informen a la administración sobre el nivel de desempeño, riesgo y conformidad. Subprácticas Principales A3.5.01  Identificar los indicadores de desempeño de cada objetivo. A3.5.02  Identificar los indicadores de conformidad de cada exigencia. A3.5.03  Identificar los indicadores de riesgo de cada riesgo o categoría de riesgo clave. A3.5.04  Identificar los umbrales de cada indicador que pone en marcha:  reporte a instancias superiores,  medida correctiva. o  reevaluación de los enfoques. A3.5.05  Asignar responsabilidad para monitorear en forma periódica o continua cada indicador establecido. A3.5.06  Diseñar informes y tableros de control para informar al personal pertinente sobre los valores y cambios de los indicadores.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

A3 PLANIFICACIÓN

A3.6 ELABORAR UN PLAN INTEGRADO Elaborar un plan para dirigir, asegurar y manejar el enfoque para abordar el desempeño, riesgo y cumplimiento. Subprácticas Principales A3.6.01  Identificar oportunidades para consolidar actividades. A3.6.02  Identificar oportunidades para incluir las actividades de gestión de riesgo en los procesos del negocio. A3.6.03  Identificar oportunidades para utilizar los programas, proyectos, procesos y recursos (personas, presupuestos y tecnología) existentes antes de crear estructuras nuevas. A3.6.04  Definir iniciativas que aborden las correspondientes actividades de optimización de riesgos en forma coordinada. A3.6.05  Establecer un cronograma para implementar cada iniciativa. A3.6.06  Asignar responsabilidades a cada iniciativa y para monitorear los eventos que pueden requerir cambios en las iniciativas. A3.6.07  Obtener la aprobación de cada iniciativa.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P ACTUAR PROACTIVAMENTE

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Incentivar proactivamente las condiciones y eventos deseables, y evitar los indeseables con medidas y controles de administración. P1 Medidas y controles proactivos P1.1 Establecer P1.2 Establecer P1.3 Establecer P1.4 Establecer P1.5 Establecer

medidas y controles proactivos de administración. controles de procesos preventivos. controles del capital humano preventivos. controles a nivel de tecnología preventivos. controles físicos preventivos.

P2 Códigos de conducta P2.1 Elaborar un código de conducta. P2.2 Implementar y manejar el código de conducta. P2.3 Elaborar e implementar lineamientos éticos sobre la toma de decisiones.

P3 Políticas P3.1 Establecer la estructura de las políticas. P3.2 Elaborar políticas. P3.3 Implementar y administrar las políticas.

P4 Educación P4.1 Definir un plan de sensibilización y educación. P4.2 Definir un plan de capacitación. P4.3 Crear o adquirir contenidos. P4.4 Implementar capacitación. P4.5 Proporcionar un canal de ayuda (helpline). P4.6 Proporcionar apoyo integrado.

P5 Incentivos P5.1 Contratar y ascender tomando como base las expectativas de conducta. P5.2 Establecer los sueldos y remuneraciones considerando las expectativas de conducta. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P5.3 Elaborar programas de incentivo y gratificaciones.

P6 Relaciones con los stakeholders P6.1 Comprender a los stakeholders. P6.2 Elaborar planes sobre las relaciones con los stakeholders. P6.3 Identificar y hacer un seguimiento de las actividades de autoridades que emiten exigencias. P6.4 Comentar sobre ítems planificados o propuestos. P6.5 Proponer mandatos, estándares o guías.

P7 Financiamiento del riesgo P7.1 Evaluar las necesidades y alternativas de financiamiento de riesgos. P7.2 Fijar objetivos de financiamiento de riesgo. P7.3 Diseñar la estrategia para el financiamiento de riesgo. P7.4 Implementar la estrategia para el financiamiento de riesgo.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P1 MEDIDAS Y CONTROLES PROACTIVOS

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Establecer medidas y controles de administración para incentivar condiciones y hechos deseables, y evitar los que no lo son.

Principios 01 Considerar cómo las medidas y los controles pueden evitar o incentivar conductas, hechos y condiciones en toda la empresa. 02 Considerar la necesidad de medidas y controles no sólo desde la perspectiva de la administración, sino que también desde el punto de vista de gobierno corporativo y de aseguramiento. 03 Utilizar medidas y controles para abordar la gestión del desempeño, riesgo y cumplimiento. 04 Usar una gama de tipos de medidas y controles proactivos, considerando la necesidad de una estratificación sin duplicaciones innecesarias. 05 Identificar medidas y controles que pueden servir para más un fin.

Factores Críticos de Éxito 01 Identificar o hacer un seguimiento de medidas y controles desactualizados, imprecisos, conflictivos e inconsistentes. 02 Asegurarse que las medidas y controles de riesgo son precisas no existiendo sobre-control o falta de control. 03 Someter las medidas y controles a pruebas de operatividad práctica para identificar debilidades. 04 Identificar las formas en que se puede infringir, evadir o manipular una medida o control p reventivo. 05 Aplicar los controles de manera sistemática y establecer claramente las excepciones posible.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P1.1 Establecer P1.2 Establecer P1.3 Establecer P1.4 Establecer P1.5 Establecer

medidas y controles de administración proactivos. controles de procesos preventivos. controles de capital humano preventivos. controles a nivel de tecnología preventivos. controles físicos preventivos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

Entregables Clave Autorizaciones Autorizaciones Externas y Segregación de Funciones Descripciones Descripciones de Funciones y Cargos, y Descripciones del Modelo de Datos Tecnológicos de GRC Matrices Matriz de Políticas y Procedimientos Relacionados, Matriz de Riesgos Priorizados, y Matriz de Riesgos y Controles Planes Plan Integrado Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P1 MEDIDAS Y CONTROLES PROACTIVOS

P1.1 ESTABLECER MEDIDAS Y CONTROLES DE ADMINISTRACIÓN PROACTIVOS Establecer medidas y controles de administración proactivos que incentiven hechos y condiciones deseables y eviten los indeseables. Subprácticas Principales P1.1.01  Establecer medidas de administración que eviten hechos indeseables, entre las que se incluyen políticas, procesos, estructuras organizacionales, tecnología y otras. P1.1.02  Establecer medidas de administración que incentiven hechos deseables, entre las que se incluyen políticas, procesos, estructuras organizacionales, tecnología y otras. P1.1.03  Establecer controles que aseguren que las medidas de administración se diseñan y funcionan en forma eficaz.

P1 MEDIDAS Y CONTROLES PROACTIVOS

P1.2 ESTABLECER CONTROLES DE PROCESO PREVENTIVOS Establecer actividades y procedimientos preventivos de control de procesos para disminuir la probabilidad o el efecto de hechos adversos, incumplimiento y mala conducta. Subprácticas Principales P1.2.01  Establecer actividades preventivas para el control de los procesos que se exijan según mandatos o compromisos voluntarios, entre las que se incluyen:  aprobaciones  autorizaciones  revisiones antes de envío/presentación  revisiones de calidad P1.2.02  Para cada actividad de control de procesos preventiva:  definir quién realizará la actividad  definir cuándo y con qué frecuencia se llevará a cabo la actividad  identificar a las personas con autoridad apropiada para modificar o invalidar actividades preventivas para el control de procesos. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P1.2.03  Para cada actividad de control de procesos preventiva, establecer la sensibilización, capacitación y apoyo apropiado para el personal encargado. P1.2.04  Determinar la necesidad de evaluar o certificar al personal encargado para garantizar que pueden realizar actividades preventivas para el control de los procesos. P1.2.05  Establecer un método para evaluar periódicamente la eficacia de cada actividad preventiva para el control de los procesos. P1.2.06  Para cada procedimiento, definir un enfoque de pruebas y las correspondientes actividades de monitoreo para asegurar que el procedimiento está funcionando eficazmente dentro de las tolerancias definidas. P1.2.07  Definir procedimientos y la responsabilidad para las excepciones a las actividades de control de procesos preventivas. P1.2.08  Determinar qué actividades de control de procesos preventivas deberían establecerse en toda la empresa. P1.2.09  Establecer procedimientos para manejar los cambios que se realicen en las actividades de control de procesos preventivas, entre los que se incluye:  notificar a la mesa de ayuda de cualquier cambio que se realice a un procedimiento,  actualizar materiales de capacitación correspondientes,  actualizar las correspondientes evaluaciones y certificaciones sobre habilidades,  mantener el historial sobre revisiones. P1.2.10  Actualizar la matriz de riesgos priorizados para reflejar:  los controles de proceso preventivos implementados,  un análisis revisado del riesgo residual actual y  el desempeño en comparación con el riesgo residual planificado.

P1 MEDIDAS Y CONTROLES PREVENTIVOS

P1.3 ESTABLECER CONTROLES PREVENTIVOS PARA EL CAPITAL HUMANO Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

Establecer controles preventivos para el capital humano para disminuir la probabilidad o el efecto de eventos adversos, incumplimiento y conductas indeseadas. Subprácticas Principales P1.3.01  Definir las descripciones de cargos y funciones para todas las funciones clave. P1.3.02  Definir qué funciones deberían segregarse para evitar conflictos de interés. P1.3.03  Confirmar que los empleados comprenden que ciertas responsabilidades se segregan de otras. P1.3.04  Incorporar las expectativas de GRC en las descripciones de cargos y funciones como se determine durante la asignación de responsabilidades de GRC. P1.3.05  Definir una metodología para verificar los antecedentes de los empleados, ejecutivos y personal que se contrata o asciende a posiciones con autoridad considerable y para evaluar su conducta pasada, entre lo que se incluye:  determinaciones de cualquier historial de transgresiones a la ley o conducta antiética,  qué tan recientemente han ocurrido las transgresiones o instancias de conducta antiética,  cómo se relacionan las transgresiones o conductas con el aspecto que preocupa del cargo de autoridad propuesto,  características de las transgresiones o conducta antiética,  conflictos de interés y  compatibilidad de los valores personales con los de la entidad. P1.3.06  Obtener la aprobación del asesor legal laboral respecto a la metodología y los criterios para la verificación de antecedentes. P1.3.07  Realizar verificaciones de antecedentes de las personas contratadas, ascendidas o trasladadas a funciones con autoridad considerable y archivar el resultado de las verificaciones de candidatos. P1.3.08  Documentar el consentimiento para realizar la verificación de antecedentes por parte de cada candidato. P1.3.09  Utilizar sistemáticamente listas de verificación en las entrevistas que sondeen indicadores de comportamiento que sean compatibles con los principios y valores de la entidad, al igual que la conducta y la toma de decisiones ética y antiética. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P1.3.10  Ampliar o revisar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar:  los controles implementados para el capital humano,  el análisis revisado del riesgo residual actual y  el desempeño en comparación con el riesgo residual planificado.

P1 MEDIDAS Y CONTROLES PROACTIVOS

P1.4 ESTABLECER CONTROLES DE TECNOLOGÍA PREVENTIVOS Establecer controles de tecnología preventivos para disminuir la probabilidad o efecto de hechos adversos, incumplimiento y conductas indeseadas. Subprácticas Principales P1.4.01  Crear un vocabulario común para describir los tipos de controles para la tecnología. P1.4.02  Establecer controles preventivos para la tecnología, entre los que se incluyen:  controles de acceso a aplicaciones que limiten el acceso a sistemas, aplicaciones y repositorios de información,  controles de acceso físico que limiten el acceso a componentes físicos de tecnología, como por ejemplo redes, servidores y estaciones de trabajo,  controles de configuración que eviten o restrinjan cambios que se realicen a las configuraciones de hardware, sistemas y aplicaciones,  controles de datos originales que eviten o restrinjan los cambios que se realicen a la información que se encuentra almacenada. P1.4.03  Actualizar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar:  los controles preventivos implementados para la tecnología,  el análisis revisado del riesgo residual actual y  el desempeño en comparación con el riesgo residual planificado.

P1 MEDIDAS Y CONTROLES PROACTIVOS

P1.5 ESTABLECER CONTROLES FÍSICOS PREVENTIVOS Establecer controles físicos preventivos para disminuir la probabilidad o impacto de hechos adversos, incumplimiento y conductas indeseadas. Subprácticas Principales P1.5.01  Establecer controles físicos preventivos para cumplir con las exigencias obligatorias. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P1.5.02  Establecer controles físicos preventivos para proteger la salud y seguridad de las personas. P1.5.03  Establecer controles físicos preventivos para proteger las condiciones medioambientales. P1.5.04  Establecer controles físicos preventivos para proteger los recursos físicos clave entre los que se incluyen las instalaciones y los equipos. P1.5.05  Establecer los controles físicos preventivos para proteger los recursos informáticos clave, entre los que se incluye la seguridad de los computadores portátiles, las unidades flash USB y otros dispositivos para el almacenamiento de datos que utilizan los empleados. P1.5.06  Actualizar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar:  los controles físicos preventivos implementados,  el análisis revisado del riesgo residual actual y  el desempeño comparación con el riesgo residual planificado.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P2 CÓDIGOS DE CONDUCTA

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Implementar código(s) de conducta para el Directorio, el personal y toda la empresa.

Principios 01 El código de conducta debería cumplir todas las exigencias legales de contar con uno para cargos o propósitos específicos, sin embargo no basta con eso, todo el personal se ve beneficiado con un código. 02 Utilizar el proceso de elaboración de códigos puede formar y guiar a los promotores y asegurar su compromiso con GRC, y así lograr su aceptación y fortalecer GRC. 03 Existe una oportunidad para incluir los lineamientos sobre toma de decisiones, de manera que las personas puedan actuar en forma responsable y con integridad en ámbitos no especificados por el código, las políticas o ley vigente. 04 Sólo es razonable esperar que los stakeholders internos y toda la empresa se desempeñen de acuerdo con el código, si el Directorio y la alta gerencia se han comprometido a actuar según el mismo y ser ejemplo.

Factores Críticos de Éxito 01 Elaborar un borrador del código con el lenguaje apropiado (tipo y nivel) para sus lectores. 02 Documentar el recibo y comprensión del código. 03 No adaptar el código a la cultura, normas y necesidades locales.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P2.1 Elaborar el código de conducta. P2.2 Implementar y administrar el código de conducta. P2.3 Elaborar e implementar lineamientos para la toma de decisiones ética.

Entregables Clave Informes Informe sobre Resultados y Recomendaciones Estados de Situación Código de Conducta y Lineamientos Éticos para la Toma de Decisiones Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P2 CODIGOS DE CONDUCTA

P2.1 ELABORAR EL CÓDIGO DE CONDUCTA Trabajar con los stakeholders pertinentes para elaborar un código de conducta que aborde la misión, visión, valores, políticas clave y conducta empresarial esperada de la entidad. Subprácticas Principales P2.1.01  Definir una metodología repetible para elaborar el código de conducta. P2.1.02  Elaborar el código de conducta con la participación de los stakeholders que representan varios niveles de autoridad dentro de la entidad. P2.1.03  Elaborar todos los códigos de conducta que exigen los mandatos legales o de otra índole, o bien uno que aborde todas esas exigencias. P2.1.04  Identificar a los stakeholders (incluidos aquellos cuyo comportamiento puede afectar la integridad de la entidad) que son los destinatarios del código de conducta. P2.1.05  Establecer procedimientos para la internacionalización y localización del código de conducta que consideren temas locales, y al mismo tiempo de conserven el mensaje pretendido de la administración. P2.1.06  Correlacionar el código de conducta con las fuentes de exigencias, principios y valores. P2.1.07  Si hay más de un código de conducta, asegurarse de la consistencia entre el lenguaje, la intención y el contenido. P2.1.08  Contar con expertos idóneos que revisen el código de conducta y el enfoque de implementación para el cumplimiento de los mandatos. P2.1.09  Contar con propietarios pertinentes de las políticas que aprueben el código de conducta y el enfoque de implementación para confirmar la adherencia a los principios. P2.1.10 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Priorizar los asuntos abordados en el código de conducta tomando como base el análisis de riesgos. P2.1.11  Incluir una declaración de respaldo de parte del Directorio y la alta gerencia. P2.1.12  Abordar las metas y filosofía del código de conducta y cómo se alinean con la misión, visión y valores globales de la entidad. P2.1.13  Como mínimo, disponer que el código de conducta aborde:  el cumplimiento de todas las leyes y normas vigentes,  la tolerancia cero a la corrupción,  los conflictos de interés,  el uso apropiado de la propiedad, información y oportunidades de la entidad,  el tratamiento justo en transacciones comerciales,  la transparencia, oportunidad y precisión de la información al mercado y la emisión de informes normativos,  reporte oportuno de denuncias internas,  responsabilidad e adherencia a las disposiciones del código,  el abuso de sustancias ilícitas,  los aportes y actividades políticas,  la importancia de los valores y principios éticos en la toma de decisiones,  la importancia de formular preguntas y plantear problemas cuando existe preocupación,  cómo denunciar conductas indebidas,  cómo denunciar incidentes y formular preguntas, y  una garantía de no represalia por denunciar incidentes. P2.1.14  Definir un procedimiento para renunciar y apartarse de las disposiciones del código de conducta.

P2 CÓDIGOS DE CONDUCTA

P2.2 IMPLEMENTAR Y ADMINISTRAR EL CÓDIGO DE CONDUCTA Distribuir y administrar un código de conducta para garantizar que todos los stakeholders pertinentes lo reciban, certificar que lo seguirán, que se respetarán, cumplirán y se harán cumplir las prácticas y principios, y que sigue siendo relevante. Subprácticas Principales P2.2.01  Elaborar un plan de lanzamiento para distribuir el código de conducta. P2.2.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Antes de implementar el código de conducta, capacitar al personal de la mesa de ayuda y a otros que están designados para responder consultas sobre su contenido. P2.2.03  Distribuir el código de conducta a todos los stakeholders que se tienen como objetivo. P2.2.04  Confirmar que los stakeholders seleccionados recibieron el código de conducta. P2.2.05  Diseñar y entregar capacitación y comunicaciones para reforzar continuamente el código de conducta. P2.2.06  Asegurarse que se revele el código de conducta al público y se encuentre a disposición de los stakeholders externos (por ejemplo, publicarlo en Internet). P2.2.07  Revelar, informar o archivar el código de conducta como lo exijan los mandatos legales. P2.2.08  Periódicamente reevaluar y definir hechos que desencadenan una reevaluación del código de conducta, incluidos cambios en leyes, condiciones de funcionamiento y políticas. P2.2.09  Definir una metodología para la revisión periódica y la modificación del código de conducta, incluida la identificación del personal específico para monitorear los factores legales e internos que pueden necesitar modificaciones. P2.2.10  Incluir los criterios relacionados con el código de conducta en los criterios estándar para la evaluación del desempeño individual. P2.2.11  Determinar el alcance de la aplicación del código de conducta en toda la empresa. P2.2.12  Estar preparado para generar evidencia del conocimiento, apoyo y comprensión el código de conducta. P2.2.13  Asegurarse que los stakeholders críticos comprenden el código de conducta (por medio de alguna forma de evaluación, certificación, comunicación o capacitación). P2.2.14

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Establecer la adherencia al código de conducta o a uno similar, una condición de hacer negocios para los proveedores y otros socios clave.

P2 CÓDIGOS DE CONDUCTA

P2.3 ELABORAR E IMPLEMENTAR LINEAMIENTOS PARA LA TOMA DE DECISIONES ÉTICA Trabajar con stakeholders idóneos para elaborar e implementar lineamientos sobre cómo optar por un curso de acción que sea compatible con la misión, visión, valores, políticas clave y conducta empresarial esperada de la entidad, cuando las circunstancias no las cubre explícitamente el código de conducta, las políticas o procedimientos. Subprácticas Principales P2.3.01  Elaborar lineamientos para la toma de decisiones de forma ética con la participación de los stakeholders que representen los distintos niveles de autoridad dentro de la entidad. P2.3.02  Elaborar lineamientos para la toma de decisiones de forma ética con la participación de los stakeholders que representen la variedad de las culturas (subculturas) que existen en toda la entidad. P2.3.03  Identificar los factores éticos y culturales que se deben considerar al tomar una decisión, entre los que se incluye:  consistencia con la misión, visión y valores de la entidad;  cumplimiento con las exigencias de la entidad;  consideración de todos los puntos de vista pertinentes;  integridad de todos los hechos necesarios para tomar una decisión;  coherencia con el comportamiento anterior de la entidad y las decisiones futuras previstas en circunstancias parecidas;  comodidad en que otros enterándose quien tomó la decisión;  consideración de las probables repercusiones y reacciones de los stakeholders, personas influyentes o el público; y  prever la crítica por medio de una explicación clara y convincente. P2.3.04  Incluir una declaración de apoyo por parte del Directorio y la alta gerencia. P2.3.05  Hacer los lineamientos para la toma de decisiones de forma ética accesibles al personal y toda la empresa, junto con los recursos e información complementarios sobre cómo involucrar a alguien para obtener mayor información. P2.3.06 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Entregar sensibilización y capacitación sobre cómo obtener, solicitar y asegurar una mayor información sobre los lineamientos para la toma de decisiones de forma ética en forma simultánea y compatible con las comunicaciones y educación sobre el o los códigos de conducta, políticas y procedimientos. P2.3.07  Establecer procedimientos para la internacionalización y localización de los lineamientos para la toma de decisiones de forma ética que consideren temas locales y necesidades en el lenguaje, al mismo tiempo de conservar los factores pretendidos relativos a la toma de decisiones de la administración.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P3 POLÍTICAS

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Implementar políticas y procedimientos asociados para abordar oportunidades, amenazas y exigencias.

Principios 01 El proceso de elaboración de políticas puede formar y guiar a los promotores y asegurar su compromiso 02 Las políticas pueden prohibir ciertas conductas e incentivar las deseadas. 03 Los lineamientos para la toma de decisiones de forma ética ayudan a las personas a decidir qué hacer en ausencia de una política o procedimiento explícito. 04 Contar con evidencia de que las políticas formales se comunican y hacen cumplir protege a la entidad cuando ocurren transgresiones.

Factores Críticos de Éxito 01 Formalizar y documentar políticas para garantizar que se conocen y están a disposición del público pertinente (es decir, no establecer “políticas secretas” que sólo se descubren una vez que se transgreden). 02 Establecer un plan para implementar las políticas, de tal manera que no queden “olvidadas”. 03 Sincronizar todas las copias con la política de políticas. 04 Asegurarse que las políticas controlen de manera adecuada los riesgos. 05 Comunicar y capacitar al personal sobre las nuevas políticas, las vigentes y las actualizadas. 06 Revisar periódicamente las políticas según un cronograma, de manera que no se produzca una desactualización. 07 Auditar el cumplimiento de las políticas.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P3.1 Establecer la estructura de las políticas. P3.2 Elaborar las políticas. P3.3 Implementar y administrar las políticas.

Entregables Clave Matrices Matriz de Políticas y Procedimientos Relacionados

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P3 POLÍTICAS

P3.1 ESTABLECER LA ESTRUCTURA DE LAS POLÍTICAS Establecer una estructura de organización para identificar y crear políticas que sustenten GRC. Subprácticas Principales P3.1.01  Elaborar una lista de políticas exigidas por mandatos, normas vigentes y compromisos voluntarios. P3.1.02  Elaborar una lista de políticas deseadas tomando como base decisiones internas. P3.1.03  Elaborar una lista de las políticas que ya existen. P3.1.04  Determinar las redundancias y duplicaciones en las políticas que ya existen. P3.1.05  Realizar un análisis de brechas en comparación con las políticas que ya existen. P3.1.06  Establecer la metodología para actualizar el análisis de necesidades de políticas.

P3 POLÍTICAS

P3.2 ELABORAR POLÍTICAS Elaborar una combinación de políticas preventivas y directivas para abordar exigencias, riesgos y otros objetivos del programa. Subprácticas Principales P3.2.01  Asegurarse que sólo las personas con autoridad apropiada emitan y modifiquen políticas. P3.2.02  Definir el objetivo de cada política. P3.2.03  Definir el público objetivo para cada política. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P3.2.04  Contar con los especialistas idóneos que aprueben las políticas que deben cumplir con mandatos. P3.2.05  Comprender los elementos del modelo de negocio que se ven afectados por cada política. P3.2.06  Definir cuándo revisar, retomar, modificar o anular cada política. P3.2.07  Definir los recursos necesarios para la introducción, implementación o aplicación de cada política. P3.2.08  Determinar qué políticas se debe imponer en toda la empresa y cuales se exigirán a los socios de negocio. P3.2.09  Traducir o localizar las políticas cuando se determina que es necesario. P3.2.10  Correlacionar o identificar las políticas interrelacionadas o dependientes, de manera que la administración pueda comprender cómo cambiar una puede afectar a otra. P3.2.11  Diseñar plantillas para varios tipos de políticas.

P3 POLÍTICAS

P3.3 IMPLEMENTAR Y ADMINISTRAR POLÍTICAS Implementar, comunicar y administrar políticas para asegurar que funcionan y siguen siendo relevantes. Subprácticas Principales P3.3.01  Determinar cómo poner a disposición de cada público objetivo cada política. P3.3.02  Determinar si se necesita una capacitación o testeo del público objetivo para cada política. P3.3.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Entregar políticas al público objetivo. P3.3.04  Confirmar y documentar el recibo de las políticas por parte del público objetivo. P3.3.05  Definir qué prácticas de sensibilización, educación y apoyo deberían estar instauradas para cada política y público objetivo. P3.3.06  Definir los métodos de evaluar los conocimientos de la existencia y comprensión de cada política por parte de los públicos objetivo. P3.3.07  Definir el procedimiento para notificar a la mesa de ayuda sobre cambios, modificaciones o anulación de políticas. P3.3.08  Establecer un método para evaluar periódicamente la eficacia de cada política respecto a cumplir la exigencia u objetivo al cual está destinada abordar.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P4 EDUCACIÓN

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Educar al Directorio, administración, personal y toda la empresa sobre la conducta esperada, y aumentar las habilidades y motivación necesarias para ayudar a la entidad a abordar amenazas, oportunidades y exigencias.

Principios 01 La sensibilización, educación y apoyo continuo le permite a las personas: • saber lo que se espera, • disminuir la probabilidad de errores y conducta delictiva, y • no incomodarse al denunciar conductas indebidas o fallas de GRC. 02 Un programa de capacitación sólido no es una iniciativa que se lleva a cabo una sola vez, sino que exige transmitir mensajes en forma repetida y coherente en un lenguaje que comprenda el público objetivo. 03 Profesionales calificados deberían diseñar y entregar la capacitación. 04 La capacidad de buscar guías, incluidas las solicitudes anónimas de guía, antes o al momento de la toma de decisiones, resulta de suma importancia para una GRC eficaz. 05 Las consultas pueden ser una fuente de información que permitirá mejoras o la identificación de conductas inapropiadas.

Factores Críticos de Éxito 01 Relacionar la rigurosidad de la estructura de los mensajes o la educación con la naturaleza del riesgo o importancia del objetivo relacionado. 02 Mantener los contenidos actualizados y pertinentes. 03 Establecer un plan de estudio que se vincule con las exigencias de conocimientos propios de funciones específicas. 04 Dar acceso a educación y otra información de apoyo donde exista la necesidad. 05 Ofrecer varias formas de formular preguntas y obtener una guía, permitir el anonimato si procede. 06 Obtener evidencia de la finalización y comprensión del plan de estudio.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P4.1 Definir una plan de sensibilización y educación. P4.2 Definir un plan de estudio. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P4.3 Crear o adquirir contenidos. P4.4 Implementar la educación. P4.5 Proporcionar un canal de consultas (helpline). P4.6 Proporcionar un apoyo integrado.

Entregables Clave Descripciones “Preguntas Frecuentes” del canal de consultas (helpline) Matrices Matriz de Riesgos Priorizados Planes Plan de Sensibilización y Educación, y Plan Integrado Informes Informes sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

P4 EDUCACIÓN

P4.1 DEFINIR UN PLAN DE SENSIBILIZACIÓN Y EDUCACIÓN Elaborar un plan para informar y capacitar al Directorio, administración, personal y toda la empresa sobre sus responsabilidades de GRC y conducta esperada. Subprácticas Principales P4.1.01  Definir una plan para que cada público objetivo tenga conocimiento general de GRC, sus responsabilidades y la conducta esperada, y como parte del plan:  considerar el alcance de la sensibilización requerida para toda la empresa,  considerar el nivel actual de conocimiento al diseñar el plan,  categorizar los contenidos: conocimientos generales versus específicos, o capacitación de mayor profundidad,  asegurarse que las personas sólo accedan a una capacitación que sea pertinente para su función o cargo, y  garantizar que el enfoque de capacitación considere las diferencias culturales, generacionales y diferentes estilos de aprendizaje en los públicos objetivo. P4.1.02  Preparar materiales que describan los elementos básicos de GRC, incluidos la misión, visión y valores implícitos de la entidad. P4.1.03  Determinar qué públicos objetivo necesitan más educación específica sobre aspectos determinados de GRC o políticas y procedimientos específicos.

P4 EDUCACIÓN

P4.2 DEFINIR UN PLAN DE ESTUDIO Elaborar un plan de estudio específico y un programa de capacitación apropiado para el Directorio, la alta gerencia, el personal y toda la empresa para cumplir sus responsabilidades de GRC. Subprácticas Principales P4.2.01  Identificar los cursos de capacitación que se exigen desde un punto de vista legal, incluido:  quién debe capacitarse,  qué contenidos se deben cubrir,  cuánto tiempo se debe dedicar al curso y cómo se medirá, y  qué métodos se pueden utilizar. P4.2.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Para cada curso que incluya contenidos legales o sobre políticas, correlacionar el objetivo con las exigencias específicas de tipo legal o sobre políticas. P4.2.03  Definir las competencias requeridas para funciones y cargos específicos. P4.2.04  Correlacionar la serie de cursos exigidos y deseados para cada función y cargo. P4.2.05  Realizar una evaluación de las necesidades que identifique las relativas a capacitación obligatorias y la relacionadas a riesgos altos, y elaborar un plan de capacitación para cada cargo o grupo de cargos que detalle:  los objetivos de aprendizaje,  los módulos de capacitación,  la duración de cada módulo de capacitación,  el cronograma para realizar la capacitación,  el cronograma y métodos para evaluar los conocimientos o habilidades, y  la frecuencia de cada curso, incluidos los cursos de actualización. P4.2.06  Definir el plazo para capacitar a las personas recién contratadas, ascendidas o trasladadas respecto a sus nuevas funciones. P4.2.07  Para cada objeto de aprendizaje, seleccionar los medios de capacitación adecuados considerando:  el nivel actual de las habilidades que posee el público objetivo,  el nivel deseado de las habilidades que posee el público objetivo,  el tamaño total y la distribución geográfica del público, y  los recursos y capacidad técnica actuales para entregar la capacitación.

P4 EDUCACIÓN

P4.3 CREAR O ADQUIRIR CONTENIDOS Crear o adquirir contenidos que no existen en el plan de capacitación y modificar cualquiera que se deba actualizar. Subprácticas Principales P4.3.01  Inventariar todos los mensajes de sensibilización, capturar la información relevante y compararlos con las comunicaciones sensibilización y educación deseadas. P4.3.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Inventariar todos los cursos presenciales, por Internet, de auto-estudio, y los proveedores de capacitación, capturar la información relevante y compararlos con los cursos deseados. P4.3.03  Preparar un plan para crear los contenidos para llenar vacíos que existan en el inventario. P4.3.04  Emplear personas calificadas para crear módulos de capacitación, incluidas, si procede, profesionales de la educación y especialistas. P4.3.05  Adaptar los contenidos a la capacidad de comprensión de la audiencia.

P4 EDUCACIÓN

P4.4 IMPLEMENTAR LA CAPACITACIÓN Implementar y administrar el programa educativo para garantizar que cada audiencia logre los objetivos de aprendizaje y pueda aplicar los conocimientos y habilidades adquiridos en sus trabajos. Subprácticas Principales P4.4.01  Integrar la capacitación de GRC a otras capacitaciones existentes, si es posible. P4.4.02  Utilizar la tecnología para impulsar, entregar y medir la educación y nivel de sensibilización. P4.4.03  Preparar a la mesa de ayuda para responder consultas sobre el acceso y los contenidos de la capacitación. P4.4.04  Distribuir comunicaciones y dictar cursos a las audiencias de acuerdo con el plan. P4.4.05  Entregar capacitación a potenciales nuevos líderes y lideres recién ascendidos sobre:  la toma de decisiones responsable,  cómo la integridad y la conducta empresarial responsable se vinculan con los objetivos de la entidad, y  cómo comunicar sobre la integridad y su efecto en el rendimiento de la entidad. P4.4.06

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 Capacitar a todos los empleados sobre la toma de decisiones responsable. P4.4.07  Confirmar que se entregó, se asistió y se finalizó la capacitación. P4.4.08  Evaluar los conocimientos, la competencia y las habilidades cuando sea requerido y respecto capacitación que aborda riesgos significativos. P4.4.09  Medir el avance de la capacitación en comparación con el correspondiente plan. P4.4.10  Revisar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar:  las iniciativas de sensibilización y educación implementadas  análisis de riesgo residual actual revisado  desempeño versus riesgo residual planificado.

P4 EDUCACIÖN

P4.5 PROPORCIONAR UN CANAL DE CUNSULTAS (HELPLINE) Establecer formas para que el personal y otros stakeholders busquen guías sobre conductas y hagan consultas generales sobre las responsabilidades de GRC, incluida la alternativa de quedar en el anonimato si se exige o permite. Subprácticas Principales P4.5.01  Definir el enfoque y la política del canal de consultas (helpline), incluid a la funcionalidad de formular consultas a un supervisor (u otra vía interna) en primer lugar, o bien al canal primero (esto puede diferir según el tipo de tema). P4.5.02  Definir si el canal de consultas (helpline) y el canal de denuncias (hotline) están combinadas o separadas. P4.5.03  Determinar si la persona que llama debe o puede quedar en el anonimato o se le asegura la confidencialidad, lo cual en algunas circunstancias puede generar una atmósfera de mayor confianza y franqueza. P4.5.04  Establecer un proceso para determinar si una consulta se origina por observaciones o la creencia que ha habido un incumplimiento o conducta indebida, incluido:  si las inquietudes o suposiciones sobre incumplimiento o conducta indebida se expresan Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

Principled Performance®

 

directamente o después de investigar el motivo de una consulta, determinar si son lo bastante específicas y convincentes para actuar, obtener toda la información que sea posible para colaborar en el proceso de categorizar el tema dentro de los niveles de investigación establecidos, y después de obtener la información básica, reorientar el proceso hacia al canal de denuncias (hotline) si se ha identificado un problema que constituye un informe.

P4.5.05  Entregar al personal del canal de consultas (helpline) una lista de preguntas y respuestas frecuentes. P4.5.06  Proveer al canal de consultas (helpline) de personal que esté bien capacitado para responder o buscar ayuda para responder a variadas consultas previstas que se relacionan con GRC y sus exigencias. P4.5.07  Establecer un método para registrar las consultas y respuestas, en que se indique la resolución final.

P4 EDUCACIÓN

P4.6 PROPORCIONAR APOYO INTEGRADO Establecer formas para que el personal obtenga respuestas a sus consultas sobre exigencias de GRC dentro de su ambiente de trabajo habitual. Subprácticas Principales P4.6.01  Asegurarse que los supervisores y el personal de GRC que participan dentro del negocio pueden responder a las consultas sobre autoridad, responsabilidades y temas relacionados con cumplimiento, ética y riesgo. P4.6.02  Informar a los empleados sobre quién está disponible dentro de su lugar de trabajo para responder las consultas sobre autoridad, responsabilidades y temas relacionados con cumplimiento, ética y riesgo. P4.6.03  Preparar y dejar a disposición materiales de “autoayuda” que los empleados y otros agentes puedan utilizar para responder consultas, sin necesitar la interacción con otras personas. P4.6.04  Entregar recursos de autoservicio (electrónicos o de otro tipo) para ayudar a las personas a responder sus consultas.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

100

Principled Performance®

P5 INCENTIVOS

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Stakeholders P7 Financiamiento de los Riesgos

Implementar incentivos que motiven conductas deseables.

Principios 01 Las medidas y controles de incentivo constituyen un equilibrio importante para las medidas y controles preventivos. 02 Las exigencias iniciales al momento de contratación que reflejan los valores de la entidad pueden ser uno de los incentivos más importantes. 03 Utilizar la medición y observancia de los valores empresariales en la remuneración, reconocimiento y ascenso señalará su importancia para el personal y toda la empresa.

Factores Críticos de Éxito 01 Considerar toda la gama de incentivos incluida la forma en que se contrata, remunera, reconoce, capacita y asciende a los empleados. 02 Analizar los incentivos para asegurar que promuevan una conducta deseada y no generan un comportamiento contraproducente. 03 Ser consecuente al entregar retribuciones y evitar el favoritismo.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P5.1 Contratar y ascender a los empleados tomando como base las expectativas de conducta. P5.2 Establecer sueldos y remuneraciones que consideren las expectativas de conducta. P5.3 Elaborar programas de retribuciones.

Entregables Clave Matrices Matriz de Riesgos Priorizados Planes Plan Integrado Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

101

Principled Performance®

P5 INCENTIVOS

P5.1 CONTRATAR Y ASCENDER A LOS EMPLEADOS TOMANDO COMO BASE LAS EXPECTATIVAS DE CONDUCTA Considerar una conducta deseable clara al definir los cargos, carreras profesionales y los criterios para la revisión de desempeño de los empleados y socios comerciales, y utilizar estos mismos criterios para ascender a los empleados. Subprácticas Principales P5.1.01  Incorporar consideraciones éticas en:  descripciones de cargos  decisiones sobre contrataciones  la evaluación del desempeño de los empleados  decisiones sobre ascensos de los empleados  decisiones sobre remuneraciones y bonos  criterios sobre despidos  medidas disciplinarias P5.1.02  Evaluaciones sobre el desempeño relativo a la conducta para cargos y funciones clave con responsabilidades relacionadas con GRC. P5.1.03    

Incluir criterios relacionados con GRC en evaluaciones del desempeño junto con: comprensión de los valores incidentes de conducta ética o supuestamente antiética responsabilidades de cumplimiento relacionadas con el cargo.

P5.1.04  Considerar la conducta ética como un factor positivo (y la antiética como negativo) al evaluar y ascender empleados y seleccionar líderes. P5.1.05  Definir un proceso de ascenso que considere el apoyo y logro de los objetivos de GRC por parte de una persona.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

102

Principled Performance®

P5 INCENTIVOS

P5.2 ESTABLECER SUELDOS Y REMUNERACIONES QUE CONSIDEREN LAS EXPECTATIVAS DE CONDUCTA Diseñar planes de remuneraciones y estructuras de bonos para empleados y socios comerciales que se alineen con conductas deseadas y no recompensen las indeseadas. Subprácticas Principales P5.2.01  Diseñar estructuras de remuneraciones y bonos que consideren y recompensen el cumplimiento y conducta ética. P5.2.02  Evitar incentivos de remuneraciones o bonos que fomenten conductas indebidas. P5.2.03  Analizar planes de remuneraciones y bonos para cargos o funciones relacionadas a la generación de ingresos o bien funciones de índole financieras, y confirmar que no inducen a un comportamiento de incumplimiento o antiético. P5.2.04  Analizar los planes de remuneraciones y bonos para funciones clave, incluidas las con autoridad considerable y confirmar que no inducen a un comportamiento de incumplimiento o antiético. P5.2.05  Analizar los presupuestos discrecionales o bonificaciones para todas las funciones de manera de confirmar que no inducen a un comportamiento de incumplimiento o antiético.

P5 INCENTIVOS

P5.3 ELABORAR PROGRAMAS DE RETRIBUCIONES Establecer un programa de retribuciones para todos los empleados, socios comerciales y otros stakeholders que reconozca personas y unidades de la entidad por demostrar una conducta deseada. Subprácticas Principales P5.3.01  Establecer retribuciones y otros incentivos para premiar modelos esperados de conducta y liderazgos. P5.3.02  Establecer incentivos que fomenten denunciar conductas indebidas o defectos de GRC. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

103

Principled Performance®

P5.3.03  Establecer premios, retribuciones y otros incentivos para reconocer a unidades de la entidad y socios comerciales por la administración ejemplar de GRC. P5.3.04  Establecer retribuciones y otros incentivos por plantear sugerencias que mejoren GRC. P5.3.05  Establecer retribuciones y otros incentivos por aportes hechos por empleados, unidades de la entidad o socios comerciales que generen menos incumplimientos, menos medidas coercitivas u otros desafíos externos para la organización. P5.3.06  Ampliar o revisar la matriz de riesgos priorizados y, si es necesario, el plan de optimización de riesgos para reflejar:  incentivos implementados para el capital humano,  el análisis resultante del riesgo residual actual y  el desempeño en comparación con el análisis de riesgo residual planificado. P5.3.07  Retribuir y reconocer al personal por la finalización exitosa de la capacitación interna, y el auto aprendizaje y mejoramiento continuo.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

104

Principled Performance®

P6 RELACIONES CON LOS STAKEHOLDERS

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Interactuar con stakeholders para definir las expectativas, asumir las exigencias e influir en las perspectivas que tienen un efecto en la entidad.

Principios 01 Los stakeholders clave en una empresa incluyen los acreedores, clientes, directores, empleados, el gobierno (y sus organismos), propietarios (accionistas), proveedores, sindicatos y la comunidad en la cual el negocio basa sus recursos. 02 Los stakeholders por lo general se legitiman a sí mismos (quienes se consideran como tal lo son); sin embargo, no todos son iguales y diferentes consideraciones se pueden dar a diferentes stakeholders. 03 Las exigencias de los stakeholders con frecuencia se pueden configurar cuando ellos comprenden las implicancias para los negocios, la industria, la economía y la comunidad en general. 04 Desarrollar promotores clave dentro de los grupos de stakeholders puede generar confianza y seguridad. 05 Participar en la elaboración de mandatos y normas ofrece la oportunidad de demostrar dónde los enfoques integrados o alineados pueden disminuir la carga del cumplimiento y generar información más confiable y útil.

Factores Críticos de Éxito 01 Identificar a las personas con habilidades apropiadas para desempeñarse como el "rostro de la entidad". 02 Identificar a los individuos clave con poder o influencia dentro del grupo de stakeholders y comprender lo que los motiva (en forma individual y grupal). 03 Comunicarse anticipadamente, con frecuencia y lo suficiente con los stakeholders antes de que desarrollen exigencias a la entidad. 04 Entregar toda la información, buena y mala, que sea pertinente respecto a las opiniones de los stakeholders sobre la entidad y las decisiones sobre exigencias.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P6.1 Comprender a los Stakeholders. P6.2 Elaborar planes para las relaciones con los stakeholders. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

105

Principled Performance®

P6.3 Identificar y hacer un seguimiento de las actividades de autoridades que emiten exigencias. P6.4 Comentar sobre los elementos planificados o propuestos. P6.5 Proponer mandatos, normas o guías.

Entregables Clave Planes Plan de Comunicación y Emisión de Informes Informes Reportes

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

106

Principled Performance®

P6 RELACIONES CON LOS STAKEHOLDERS

P6.1 COMPRENDER A LOS STAKEHOLDERS Investigar y analizar las organizaciones y los individuos clave involucrados dentro de los diversos stakeholders, con el objeto de comprender sus preocupaciones y la mejor manera de relacionarse con ellos. Subprácticas Principales P6.1.01  Crear un inventario de las entidades clave de stakeholders y categorizarlas por tipo, incluidos:  gobierno y organismos fiscalizadores,  inversionistas,  aseguradoras y suscriptores,  clasificadoras e riesgo y bolsas,  proveedores, socios de toda la empresa,  clientes,  comunidades de las operaciones, y  los empleados, agentes y sindicatos. P6.1.02  Reunir y revisar información disponible sobre cada entidad clave de stakeholders, entre la que se incluye:  la misión, visión y valores,  declaraciones o documentos sobre la relación con su entidad,  las personas clave que son importantes para la relación, y  cualquier información sobre conductas éticas o bien temas o inquietudes respecto a incumplimientos. P6.1.03  Asignar responsabilidad de mantener vigente la información sobre cada grupo de stakeholders clave e informar a los ejecutivos encargados de las relaciones con ellos de los cambios pertinentes.

P6 RELACIONES CON LOS STAKEHOLDERS

P6.2 ELABORAR PLANES PARA LAS RELACIONES CON LOS STAKEHOLDERS Elaborar planes para las relaciones con los stakeholders, incluidos los relativos a las comunicaciones, para cada jurisdicción de stakeholders. Subprácticas Principales P6.2.01  Identificar las circunstancias y procesos en que se pueda necesitar de comunicaciones con cada tipo de stakeholder. P6.2.02 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

107

Principled Performance®

 Elaborar un plan de alto nivel sobre comunicaciones que se alinee con los canales de comunicación de la entidad existentes y que pueden adaptarse a circunstancias y exigencias específicas. P6.2.03  Definir las interdependencias de las comunicaciones y los mensajes y cómo cada uno se ajusta al panorama global de comunicación de la entidad. P6.2.04  Determinar qué función o funciones pueden autorizar iniciar comunicaciones con cada tipo o grupo de stakeholders. P6.2.05  Determinar quién establece y aprueba los contenidos y diseño de las comunicaciones para cada tipo y grupo de stakeholders. P6.2.06  Determinar quién entrega, responde e interactúa (es decir, el “rostro de la entidad”) con cada tipo o grupo de stakeholders. P6.2.07  Identificar a otros participantes en cualquier proceso en que las relaciones con los stakeholders son importantes, incluidas las probables coaliciones y sus posiciones esperadas que pueden influir en las opiniones de los stakeholders y estar preparadas para responder.

P6 RELACIONES CON LOS STAKEHOLDERS

P6.3 IDENTIFICAR Y HACER SEGUIMIENTO DE LAS ACTIVIDADES DE LAS INSTITUCIONES QUE EMITEN EXIGENCIAS Determinar qué organismos de gobierno, organizaciones que emiten estándares y otras entidades que emiten mandatos, normas o guías tienen un efecto significativo en las exigencias de GRC de la entidad y hacer un seguimiento de sus actividades. Subprácticas Principales P6.3.01  Documentar las autoridades emisoras de mandatos, normas y lineamientos clave. P6.3.02  Aprender los procedimientos internos de la autoridad para elaborar los mandatos, normas y guías. P6.3.03

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

108

Principled Performance®

 Establecer procedimientos para identificar cuándo una autoridad está planificando proponer reglas, normas y guías antes de su publicación. P6.3.04  Establecer procedimientos para hacer un seguimiento y revisar reglas, normas y guías propuestas. P6.3.05  Establecer relaciones de confianza y respeto con funcionarios clave de las instituciones emisoras, y crear una reputación basada en entregar asistencia valiosa y confiable, e información veraz.

P6 RELACIONES CON LOS STAKEHOLDERS

P6.4 COMENTAR SOBRE LOS ELEMENTOS PLANIFICADOS O PROPUESTOS Participar activamente en la elaboración de mandatos, normas y guías a través de distintas formas de comentar. Subprácticas Principales P6.4.01  Reunirse con autoridades emisoras para comprender y comentar los elementos planificados y dar a conocer el punto de vista que tiene la entidad. P6.4.02  Entregar a la autoridad emisora toda información o datos relevantes que la entidad disponga, y que permita a la entidad emisora tomar decisiones bien fundamentadas. P6.4.03  Participar, si procede, en audiencias y entregar testimonios relativos a propuestas formales o planificadas. P6.4.04  Entregar a la autoridad emisora documentos explicativos, lenguaje propuesto o cambios al mismo, y borradores alternativos. P6.4.05  Preparar comentarios formales por escrito sobre los elementos propuestos que han sido puestos a disposición del público, lo cual incluye cualquier datos e información que permita a la autoridad realizar una revisión bien fundamentada y cambios a la propuesta, si procede. P6.4.06  Entregar datos y otra información a la autoridad emisora que contrarreste planteamientos, opiniones e intereses diferentes a la entidad. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

109

Principled Performance®

P6.4.07  Formar coaliciones formales e informales con entidades que comparten el punto de vista de la entidad.

P6 RELACIONES CON LOS STAKEHOLDERS

P6.5 PROPONER MANDATOS, NORMAS O GUÍAS Proponer activamente a las autoridades emisoras la elaboración de mandatos, normas y guías. Subprácticas Principales P6.5.01  Reunirse con autoridades emisoras para comentar la necesidad y el beneficio de elementos propuestos en términos que cumplan con los intereses de la autoridad. P6.5.02  Desarrollar y poner a disposición de la autoridad emisora datos o información pertinentes que permitan a la entidad emisora tomar una decisión bien fundamentada sobre la elaboración del elemento deseado.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

110

Principled Performance®

P7 FINANCIAMIENTO DEL RIESGO

P1 Medidas y Controles Proactivos P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con los Stakeholders P7 Financiamiento del Riesgo

Elaborar o adquirir instrumentos para compartir riesgos y de financiamiento, incluidos los seguros, indemnizaciones, reservas, y entidades jurídicas para disminuir o eliminar el posible impacto de las amenazas.

Principios 01 El financiamiento del riesgo ayuda a abordar el efecto, generalmente financiero, de eventos y condiciones adversos después de que ocurren. 02 Financiar riesgos al mismo tiempo aplicar otras medidas y controles que disminuyen la probabilidad de ocurrencia que ocurran hechos o condiciones adversas. 03 El financiamiento de riesgos externos es más útil en el caso de hechos y condiciones adversos con baja probabilidad y alto impacto que, si se materializan, requerirían recursos financieros que superan los medios con los que la entidad cuenta.

Factores Críticos de Éxito 01 Ponderar bien los costos en comparación con los beneficios de los instrumentos de financiamiento de riesgos (por ejemplo, no sobre-asegurar). 02 Asegurar que se abordan todas las obligaciones y exigencias de financiamiento de riesgos y que se monitorean en forma continua respecto al cumplimiento, de manera que las coberturas no fallen. 03 Considerar la solidez y resiliencia financiera que presenten los socios financieros externos.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model P7.1 Evaluar las necesidades y alternativas de financiamiento de riesgos. P7.2 Fijar los objetivos de financiamiento de riesgos. P7.3 Diseñar la estrategia para el financiamiento de riesgos. P7.4 Implementar la estrategia de financiamiento de riesgos.

Entregables Clave Matrices Matriz de Riesgos Priorizados Planes Plan Integrado

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

111

Principled Performance®

P7 FINANCIAMIENTO DEL RIESGO

P7.1 EVALUAR LAS NECESIDADES Y ALTERNATIVAS DE FINANCIAMIENTO DE RIESGOS Evaluar la necesidad y deseo de financiar los riesgos y las alternativas disponibles. Subprácticas Principales P7.1.01  Revisar los resultados de la evaluación de riesgos para determinar cuáles deberían abordarse sólo con las alternativas de financiamiento. P7.1.02  Revisar el riesgo residual luego de la aplicación de controles internos para identificar los riesgos que requieren de financiamiento como respaldo para los controles aplicados. P7.1.03  Identificar las alternativas de tipos de financiamiento de riesgos que sean apropiados para c ada riesgo identificado.

P7 FINANCIAMIENTO DEL RIESGO

P7.2 FIJAR LOS OBJETIVOS DE FINANCIAMIENTO DE RIESGOS Fijar objetivos de compartir riesgos y los límites para determinados riesgos o portafolio de riesgos. Subprácticas Principales P7.2.01  Determinar las alternativas disponibles para compartir riesgos. P7.2.02  Determinar los mandatos o políticas que impiden el uso de un instrumento o enfoque en particular para compartir riesgos en el caso de determinados tipos de riesgos.

P7 FINANCIAMIENTO DEL RIESGO

P7.3 DISEÑAR LA ESTRATEGIA PARA FINANCIAMIENTO DE RIESGOS Diseñar una cartera de instrumentos o enfoques para compartir riesgos. Subprácticas Principales P7.3.01 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

112

Principled Performance®

 Seleccionar los riesgos que se van a asegurar. P7.3.02  Seleccionar los riesgos que se van a auto asegurar o quedarán sujetos a una compañía de seguros cautiva. P7.3.03  Seleccionar los riesgos que se traspasarán a través de contratos. P7.3.04  Seleccionar los riesgos que se traspasarán a otras estructuras de la entidad (filial, joint venture, sociedad personal de responsabilidad limitada, sociedad de responsabilidad limitada, etc.).

P7 FINANCIAMIENTO DEL RIESGO

P7.4 IMPLEMENTAR LA ESTRATEGIA DE FINANCIAMIENTO DE RIESGOS Implementar los instrumentos o estructuras para compartir riesgos y adquirir seguros. Subprácticas Principales P7.4.01  Crear el lenguaje y contratos para la indemnización, cesión, garantía que traspase o asigne el riesgo. P7.4.02  Adquirir seguros o establecer estructuras de auto aseguro. P7.4.03  Definir los niveles apropiados de deducibles/retenciones. P7.4.04  Definir límites o desembolsos apropiados. P7.4.05  Asignar responsabilidad por mantener el cumplimiento con las exigencias de cada enfoque. P7.4.06  Formar estructuras organizacionales y traspasar riesgos. P7.4.07  Ampliar o revisar la matriz de riesgos priorizados y el plan de optimización de los riesgos para reflejar: Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

113

Principled Performance®

  

el financiamiento de los riesgos, los seguros y controles estructurales implementados, el análisis revisado del riesgo residual actual y el desempeño en comparación con el riesgo residual planificado.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

114

Principled Performance®

D DETECTAR

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Detectar el avance actual hacia el logro de los objetivos al igual que las posibles condiciones y hechos indeseables aplicando medidas y controles de administración. D1 Medidas y controles de detección D1.1 Establecer medidas y controles de detección. D1.2 Establecer los controles de detección en procesos. D1.3 Establecer controles de detección para el capital humano. D1.4 Establecer controles físicos de detección. D1.5 Establecer controles tecnológicos de detección. D1.6 Consolidar y analizar los resultados de los controles.

D2 Notificación D2.1 Reunir las notificaciones. D2.3 Filtrar y enviar las notificaciones. D2.4 Adherirse a las exigencias para la protección de los datos.

D3 Indagación D3.1 Establecer diversas formas de obtener las opiniones del personal y de los stakeholders. D3.2 Establecer un enfoque integrado a nivel de entidad respecto a las encuestas. D3.3 Establecer un enfoque integrado de las autoevaluaciones. D3.4 Recolectar información a través de observaciones y conversaciones. D3.5 Comunicar la información y los resultados.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

115

Principled Performance®

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1 Medidas y Controles de Detección D2 Notificación D3 Indagación

Establecer medidas y controles para detectar la ocurrencia efectiva o posible de condiciones y eventos deseables e indeseables.

Principios 01 Considerar cómo las medidas y los controles pueden detectar conductas, eventos y condiciones en toda la empresa. 02 Considerar la necesidad de medidas y controles que no sólo atienden a la perspectiva de la administración, sino que también las perspectivas dirección y aseguramiento. 03 Aplicar medidas y controles para abordar la administración del desempeño, el riesgo y el cumplimiento. 04 Utilizar una gama de tipos de medidas y controles considerando la necesidad de estratificar sin realizar duplicaciones innecesarias. 05 Identificar medidas y controles que puedan servir para más de un fin. 06 Definir tableros de control, alertas e informes con un nivel apropiado de detalles para el público objetivo.

Factores Críticos de Éxito 01 Establecer una red amplia de fuentes de información para identificar posibles hechos y condiciones adversas. 02 Identificar las debilidades en las formas de notificación para que se detecten problemas efectivos y posibles. 03 Analizar los hechos y condiciones detectados respecto a la precisión, veracidad, motivos e interrelaciones.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model D1.1 Establecer medidas y controles de detección. D1.2 Establecer controles de detección en procesos. D1.3 Establecer controles de detección para el capital humano. D1.4 Establecer controles físicos de detección. D1.5 Establecer controles tecnológicos de detección. D1.6 Consolidar y analizar los resultados de los controles.

Entregables Clave Descripciones Listas de Verificación para Entrevistas de salida Normas internas Taxonomía de Control Informes Reportes, Resultados y Recomendaciones Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

116

Principled Performance®

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.1 ESTABLECER MEDIDAS Y CONTROLES DE DETECCIÓN Establecer medidas y controles de detección para identificar y percibir el avance hacia los objetivos, al igual que los hechos y condiciones indeseables efectivos y posibles. Subprácticas Principales  Establecer medidas de administración que detecten hechos y condiciones indeseables entre las que se incluyen: políticas, procesos, estructuras de la entidad, tecnología y otras.  Establecer medidas de administración que detecten hechos y condiciones deseables entre las que se incluyen: políticas, procesos, estructuras de la entidad, tecnología y otras.  Establecer controles que garanticen que las medidas de detección se encuentran diseñadas y funcionan de manera eficaz.

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.2 ESTABLECER CONTROLES DE DETECCIÓN EN PROCESOS Establecer actividades y procedimientos de control en procesos que detecten hechos adversos, incumplimiento y conducta indebidas. Subprácticas Principales D1.2.01  Establecer controles de detección en procesos tomando como base el análisis de transacciones financieras por frecuencia, envergadura, ubicación y otros factores que pueden indicar conductas antiéticas, fraudulentas o de incumplimiento. D1.2.02  Establecer controles de detección tomando como base el monitoreo de movimientos y usos de recursos físicos que pueden indicar conductas poco éticas, fraudulentas o de incumplimiento. D1.2.03  Como lo garantiza el análisis de riesgos, definir los controles apropiados para el monitoreo continuo.

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.3 ESTABLECER CONTROLES DE DETECCIÓN PARA EL CAPITAL HUMANO Establecer actividades y procedimientos para el control del capital humano que detecten hechos adversos, incumplimiento y conductas indebidas. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

117

Principled Performance®

Subprácticas Principales D1.3.01  Utilizar un checklist de verificación para la revisión del rendimiento de individuos que:  consulte si la persona ha observado conductas indebidas mientras ha estado contratada,  indague sobre sospechas de conductas indebidas u oportunidades para llevar una conducta de esa índole,  indague sobre opiniones respecto a la eficacia de GRC y las debilidades aparentes,  determine las opiniones sobre la entidad, la administración y los supervisores inmediatos, y  determine la confianza en el compromiso que tiene la entidad con los valores y políticas establecidos. D1.3.02  Utilizar un checklist de verificación para la entrevista de salida a personas que:  compruebe que se devolvieron todos los bienes de la entidad,  consulte si la persona observó o sospechó de algún incumplimiento, conducta antiética, respuesta poco equitativa o prejuiciosa, o conducta indebida, riesgos que no se controlan, etc.,  indague sobre opiniones respecto a la eficacia de GRC y las debilidades aparentes,  determine opiniones de la persona que sale sobre la entidad, la administración y los supervisores inmediatos, y  aconseje cómo informar inquietudes o problemas después de su desvinculación. D1.3.03  Ampliar o revisar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar:  los controles implementados para el capital humano,  el análisis revisado del riesgo residual actual y  el desempeño en comparación con el riesgo residual planificado.

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.4 ESTABLECER CONTROLES FÍSICOS DE DETECCIÓN Instalar controles físicos que son necesarios para la súper-vigilancia de los controles físicos preventivos y áreas donde se pueden observar de manera física el incumplimiento o conductas antiéticas. Subprácticas Principales D1.4.01  Establecer mecanismos de vigilancia (cámaras o personal) en áreas de alta seguridad o amenaza (por ejemplo, almacenamiento de materiales peligrosos, lugares donde se ubican los servidores, estacionamientos apartados, etc.) para detectar sobornos, violencia, robos, etc.  D1.4.02  Establecer mecanismos (electrónicos o con personas) para monitorear la entrada y salida en áreas alta Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

118

Principled Performance®

seguridad. D1.4.03  Proporcionar la protección que es necesaria para la privacidad y notificación de la vigilancia donde una política exija o determine que es apropiado. D1.4.04  Establecer sistemas de alarmas silenciosas, audibles o visuales para comunicar la detección de transgresiones a los controles preventivos y emergencias. D1.4.05  Establecer mecanismos para hacer un seguimiento de la ubicación de bienes o existencias de alto valor para detectar su traslado no autorizado (por ejemplo, sistemas de identificación por radiofrecuencia). D1.4.06  Utilizar mecanismos para detectar la presencia o ausencia de condiciones medioambientales que quedan fuera de los objetivos o umbrales aceptables (por ejemplo, detectores de humo, sensores de productos químicos, monitores de emisiones, sistemas para el monitoreo de la calidad del agua, termostatos de refrigeración, sensores para la presión de sello al vacío, etc.). D1.4.07  Establecer mecanismos para detectar la presencia o ausencia de personal y visitas en las depen dencias de la entidad para determinar la necesidad de intentar rescatar a dichas personas, comunicarse con su familia u otro tipo de reacción. D1.4.08  Utilizar mecanismos (distintivos electrónicos o manuales) para distinguir entre el personal, las visitas y personas desconocidas en las dependencias de la entidad, de manera que las personas o sistemas puedan detectar la presencia o actividades inapropiadas o no autorizadas.

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.5 ESTABLECER CONTROLES TECNOLÓGICOS DE DETECCIÓN Implementar y monitorear los controles automatizados tecnológicos de detección para identificar de manera expedita la mala conducta efectiva o posible. Subprácticas Principales D1.5.01  Monitorear los indicadores tecnológicos de controles de detección para identificar conducta indebidas potenciales o efectivas o incumplimiento, incluido lo que corresponde a:  acceso físico y vigilancia,  controles de acceso a sistemas,  controles a datos maestros, Este documento no constituye una asesoría legal o Principled Performance® profesional. Contacte a un profesional respecto a sus necesidades específicas.

119

     

controles para las transacciones, controles operativos, pistas de auditoría y análisis de registros, actividades de pruebas, informes sobre el rendimiento y avance y estado de las iniciativas, y emisión de informes de riesgo.

D1.5.02

 Reaccionar frente a las alertas, notificaciones e indicaciones de variaciones de los umbrales.

D1 MEDIDAS Y CONTROLES DE DETECCIÓN

D1.6 CONSOLIDAR Y ANALIZAR LOS RESULTADOS DE LOS CONTROLES Consolidar y analizar toda la información reunida a través de varios medios de detección para identificar tipos de conductas indebidas, hechos adversos y otras debilidades que de otra manera pasarían inadvertidos. Subprácticas Principales D1.6.01  Realizar un análisis de los datos reunidos. D1.6.02  Documentar los temas usando un sistema o método que permita el seguimiento posterior y un mayor análisis. D1.6.03  Completar los formularios o informes oficiales que se exigen. D1.6.04  Entregar formularios, informes e información no documentada y análisis (de haberlos) según las responsabilidades informativas. D1.6.05  Ocupar elementos apropiados para reaccionar y resolver los problemas identificados. D1.6.06  Comparar los resultados del análisis con referencias internas (por ejemplo, otro departamento, unidad de negocio, etc.). D1.6.07  Comparar los resultados del análisis con referencias externas (por ejemplo, entidades de la competencia, índices de la industria, etc.). Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

120

Principled Performance®

D2 NOTIFICACIÓN

D1 Medidas y Controles de Detección D2 Notificación D3 Indagación

Entregar varias formas de informar la ocurrencia efectiva o posible de condiciones, hechos y conductas indeseables, al igual que la ocurrencia de hechos deseables.

Principios 01 Entregar vías canales para que las personas notifiquen a la administración sobre hechos y conductas indeseables y deseables. 02 Aconsejar a los stakeholders a plantear problemas directamente a la entidad en lugar de usar canales externos. 03 Diseñar GRC de manera que los stakeholders puedan confiar, sin temor de represalia, que sus inquietudes se consideran con seriedad, se abordan y evalúan en forma expedita y objetiva. 04 Promover formas de notificación que sean apropiadas para las costumbres y cultura locales. 05 Adaptarse para recibir y captar informes hechos por vías métodos informales y canales que no se encuentran estructurados.

Factores Críticos de Éxito 01 Establecer formas de notificación que sean fáciles de utilizar y estén de acuerdo con las costumbres y cultura locales, al igual que las exigencias sobre protección de los datos. 02 Capacitar al personal de administración y supervisión par a manejar y registrar las notificaciones informales. 03 Definir formas coherentes de escalar situaciones a niveles jerárquicos superiores respecto a todas las maneras de notificación.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model D2.1 Reunir notificaciones. D2.3 Filtrar y enviar las notificaciones. D2.4 Adherirse a las exigencias para la protección de los datos.

Entregables Clave Autorizaciones Autorizaciones Externas y Autorización Interna Planes Plan de Comunicación y Emisión de Informes

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

121

Principled Performance®

D2 NOTIFICACIÓN

D2.1 REUNIR NOTIFICACIONES Implementar un sistema de notificación que alerte a la entidad de incidentes o sospechas de incumplimiento legal, transgresiones a las políticas de la empresa e inquietudes o percepciones sobre conductas poco éticas, debilidades de GRC y de rendimiento en todos los niveles. Subprácticas Principales D2.1.01  Utilizar múltiples canales:  en persona,  por teléfono,  por correo,  por correo electrónico y  por Internet. D2.1.02  Hacer que algunos canales estén disponibles las 24 horas del día, los 7 días de la semana y los 365 días del año. D2.1.03  Definir el enfoque y política de notificación, incluida la preferencia de informar a un supervisor (u otra vía interna) en primer lugar, o bien a través del canal de denuncias (hotline) en primera instancia (esto puede diferir según el tipo de tema, las costumbres y leyes locales). D2.1.04  Definir qué canales se entregarán utilizando recursos internos o externos. D2.1.05  Definir procedimientos para proteger el anonimato de los notificadores en jurisdicciones en donde se exige o permite. D2.1.06  Hacer que las formas de notificación estén disponibles y asequibles a los diversos stakeholders:  empleados,  agentes (contratar empleados que actúen en nombre de la entidad),  proveedores y clientes, y  el público. D2.1.07  Comunicar la disponibilidad de las formas de notificación al personal y otros stakeholders. D2.1.08 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

122

Principled Performance®

 Definir los procedimientos para disminuir el rechazo de notificaciones iniciadas, incluido:  limitar o prohibir el tiempo de espera en las notificaciones telefónicas,  proporcionar la posibilidad de diversos idiomas y  capacitar a los receptores de notificaciones para tratar con respeto a las personas que informan. D2.1.09  Definir los procedimientos para proteger la confidencialidad de toda la información comunicada durante su ingreso. D2.1.10  Obtener las aprobaciones o permisos internos y externos indispensables para el enfoque definido. D2.1.11  De conformidad con las costumbres y leyes locales, crear una política, en forma separada o como parte del código de conducta, que exija a los empleados utilizar una de las formas de notificación, si detectan o saben de alguna mala conducta. D2.1.12  Definir, una política, en forma separada o como parte del código de conducta, que estipule que la entidad no ejercerá represalias en contra de las personas que notifiquen sobre conductas indebidas o fallas de GRC. D2.1.13  Documentar la indagación o problema con un sistema o método, y que se tenga en cuenta realizar un análisis posterior. D2.1.14  Capacitar al personal (en particular al personal supervisor que se espera que reciba las notificaciones por medio de una política de puertas abiertas) sobre cómo manejar las notificaciones que reciban.

D2 NOTIFICACIÓN

D2.3 FILTRAR Y ENVIAR LAS NOTIFICACIONES Examinar y derivar notificaciones para manejarlas, independientemente de la forma a través de la cual se recibe una notificación en particular. Subprácticas Principales D2.3.01  Crear procedimientos uniformes para manejar las notificaciones, entre los que se incluyen:  la taxonomía y vocabulario uniforme para tipos de incidentes o inquietudes,  formularios o campos para la entrada de datos de notificación que sean uniformes,  derivar y escalar situaciones a niveles jerárquicos superiores,  un solo depósito final para todas las notificaciones y Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

123

Principled Performance®



métodos para que los receptores de notificaciones por vías distintas al canal de denuncias (hotline) ingresen esta información al depósito para su procesamiento.

D2.3.02  Definir procedimientos para revisar y confirmar eficientemente la validez de las notificaciones. D2.3.03  Definir las exigencias de retención de la información. D2.3.04  Hacer un seguimiento de las denuncias a medida que fluyen a través del proceso de resolución. D2.3.05  Establecer un procedimiento para entregar retroalimentación al notificador, de tal manera que comprenda que la denuncia está siendo procesada o resuelta.

D2 NOTIFICACIÓN

D2.4 ADHERIR A LAS EXIGENCIAS SOBRE PROTECCIÓN DE DATOS Asegurarse que los procesos del canal de denuncias (hotline) para la notificación cumplen con las exigencias específicas establecidas en la localidad donde se origina la denuncia y funciona la entidad. Subprácticas Principales D2.4.01  Definir si el canal de consultas (helpline) y el canal de denuncias (hotline) están combinadas o separadas. D2.4.02  Determinar si se exige, permite o prohíbe un sistema anónimo de denuncias en determinado lugar o circunstancia, y diseñar el canal de denuncias acorde a esto. D2.4.03  Comprender las exigencias de protección y privacidad de datos que son internacionalmente aplicables a su entidad y diseñar el enfoque, de tal manera que el canal de denuncias (hotline) cumpla con todos los mandatos vigentes. D2.4.04  Establecer canales de denuncia (hotlines) o enfoques de envío separados, según proceda para cumplir con las diferentes exigencias legales tomando como base la localidad del notificador y de la entidad.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

124

Principled Performance®

D3 INDAGACIÓN

D1 Medidas y Controles de Detección D2 Notificación D3 Indagación

Periódicamente buscar información para comprender las percepciones acerca del gobierno corporativo, aseguramiento y desempeño de la administración, riesgo y cumplimiento, y la ocurrencia de hechos y actividades indeseadas.

Principios 01 Proveer oportunidades para consultar a los stakeholders sobre el gobierno corporativo, aseguramiento y desempeño de la administración, riesgo y cumplimiento. 02 Hacer que el personal y los stakeholders perciban que sus opiniones son valoradas, considerando toda la retroalimentación y adoptando las medidas correctivas apropiadas. 03 Utilizar la información obtenida para resolver problemas, generar la confianza del personal y la creencia en el compromiso de la entidad con los valores, y mejorar GRC. 04 Comunicar la importancia de la retroalimentación proveniente de los stakeholders. 05 Evitar cualquier relación efectiva o percibida entre la reacción de una persona y su evaluación del desempeño.

Factores Críticos de Éxito 01 Reunir opiniones e información de todos los públicos objetivo pertinentes. 02 Coordinar iniciativas para evitar el agotamiento que surge producto de las encuestas y autoevaluaciones. 03 Consolidar, comparar y reconciliar la información obtenida de diversos métodos y stakeholders. 04 Cerciorarse que la información obtenida por medio de indagaciones se utiliza para mejorar el diseño y el funcionamiento de GRC.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model D3.1 Establecer varias formas de obtener las opiniones del personal y los stakeholders. D3.2 Establecer un enfoque integrado de toda la entidad respecto a las encuestas. D3.3 Establecer un enfoque integrado de las autoevaluaciones. D3.4 Recolectar información a través de las observaciones y conversaciones. D3.5 Comunicar la información y los resultados.

Entregables Clave Planes Plan de Comunicación y Emisión de Informes Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

125

Principled Performance®

D3 INDAGACIÓN

D3.1 ESTABLECER VARIAS FORMAS DE OBTENER LAS OPINIONES DEL PERSONAL Y LOS STAKEHOLDERS Definir las oportunidades para obtener las opiniones del personal y los stakeholders sobre el riesgo, GRC, la conducta y el compromiso de la entidad con sus valores establecidos. Subprácticas Principales D3.1.01  Utilizar reuniones o conversaciones relevantes que se tiene con públicos objetivo (reuniones de empleados, sesiones de información de analistas de mercado, grupos asesores de clientes o socios comerciales, sesiones sobre lecciones aprendidas, sesiones para compartir experiencias, reuniones con entidades de gobierno, revisiones de clasificadoras de riesgo, auditorías, etc.) para obtener información. D3.1.02  Instituir oportunidades para mantener conversaciones formales con el personal. D3.1.03  Fomentar conversaciones informales y establecer una política de puertas abiertas.

D3 INDAGACIÓN

D3.2 ESTABLECER UN ENFOQUE INTEGRADO DE TODA LA ENTIDAD RESPECTO A LAS ENCUESTAS Establecer un enfoque de encuestas que disminuya la carga sobre los encuestados y entregue una visión consolidada de la información obtenida del personal y otros stakeholders. Subprácticas Principales D3.2.01  Definir las encuestas y audiencias clave. D3.2.02  Inventariar las encuestas que ya existen y analizar la periodicidad y los contenidos. D3.2.03  Correlacionar las encuestas que se desea tener con las que ya existen respecto a contenidos y públicos. D3.2.04  Determinar las oportunidades para consolidar o retirar encuestas. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

126

Principled Performance®

D3.2.05  Determinar discrepancias en las encuestas que ya existen en comparación con las que se desea tener. D3.2.06  Elaborar encuestas adicionales que sean necesarias. D3.2.07  Definir el máximo de encuestas que una persona debería recibir en cualquier trimestre. D3.2.08  Establecer un calendario integrado de las encuestas. D3.2.09  Determinar los métodos apropiados para aumentar las tasas de respuesta y la imparcialidad en las encuestas:  método de entrega de la encuesta (electrónica, telefónica, en papel, etc.),  oportunidad de responder en forma anónima,  incentivo o retribución por participar, o bien  obligación de completarla.

D3 INDAGACIÓN

D3.3 ESTABLECER UN ENFOQUE INTEGRADO DE AUTOEVALUACIONES Establecer un enfoque de autoevaluación que integre la evaluación de las responsabilidades y resultados relacionados con GRC con otras autoevaluaciones impuestas a la administración. Subprácticas Principales D3.3.01  Definir las autoevaluaciones clave y audiencias objetivo. D3.3.02  Inventariar requerimientos actuales de autoevaluaciones y analizar la periodicidad y los contenidos. D3.3.03  Correlacionar las autoevaluaciones que se desea tener con las que ya existen respecto a la cobertura de contenidos. D3.3.04  Determinar las oportunidades para consolidar o retirar autoevaluaciones.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

127

Principled Performance®

D3.3.05  Determinar las discrepancias en las autoevaluaciones que ya existen para abordar las necesidades de las evaluaciones de GRC. D3.3.06  Formular preguntas adicionales necesarias para la autoevaluación. D3.3.07  Establecer un calendario integrado de autoevaluaciones.

D3 INDAGACIÓN

D3.4 RECOLECTAR INFORMACIÓN A TRAVÉS DE OBSERVACIONES Y CONVERSACIONES Establecer métodos informales para recolectar opiniones a través de observaciones, reuniones, focus groups y conversaciones. Subprácticas Principales D3.4.01  Determinar las oportunidades para recolectar opiniones a través de reuniones programadas que ya existen con diversos grupos de stakeholders. D3.4.02  Coordinar la calendarización de los focus groups y otras reuniones establecidas con el fin de conversar sobre los temas de GRC. D3.4.03  Establecer un método para recopilar la información que la administración recolecta durante conversaciones e interacciones informales con el personal y otros stakeholders sobre sus opiniones. D3.4.04  Establecer métodos para observar el comportamiento del personal y recolectar información sobre actitudes y creencias respecto al compromiso de la entidad con los valores y GRC.

D3 INDAGACIÓN

D3.5 COMUNICAR LA INFORMACIÓN Y LOS RESULTADOS Entregar a la administración la información y observaciones de todos los métodos de indagación. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

128

Principled Performance®

Subprácticas Principales D3.5.01  Analizar la información y los resultados para identificar y derivar los temas que requieren una atención inmediata. D3.5.02  Analizar la información y los resultados para identificar y derivar información pertinente para análisis de riesgos y alternativas de optimización. D3.5.03  Analizar la información y los resultados para identificar y derivar las debilidades de GRC a fin de mejorarlas. D3.5.04  Documentar indagaciones o observaciones usando un sistema o método que permita realizar seguimiento posterior y mayor análisis.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

129

Principled Performance®

R RESPONDER

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Reaccionar a condiciones y eventos deseables con retribuciones, y corregir condiciones y eventos indeseables. R1 Medidas y controles de respuesta R1.1 Establecer controles y medidas de reacción. R1.2 Establecer controles correctivos en los procesos. R1.3 Establecer controles correctivos para el capital humano. R1.4 Establecer controles tecnológicos correctivos. R1.5 Establecer controles físicos correctivos. R1.6 Monitorear e informar sobre los controles correctivos.

R2 Investigación interna R2.1 Definir el proceso de indagación e investigación. R2.2 Prepararse para investigar. R2.3 Realizar investigaciones. R2.4 Informar sobre los resultados de las investigaciones.

R3 Investigaciones de terceros R3.1 Prepararse y abordar las indagaciones de terceros. R3.2 Prepararse para identificar investigaciones de terceros. R3.3 Prepararse para manejar investigaciones de terceros. R3.4 Prepararse para seleccionar el equipo interno para la investigación de terceros. R3.5 Prepararse para reaccionar frente a las investigaciones específicas de terceros.

R4 Reacción frente a una crisis R4.1 Elaborar planes de reacción frente a una crisis y de continuidad. R4.2 Identificar la preparación frente una crisis y los equipos de reacción. R4.3 Probar los planes y procedimientos. R4.4 Coordinar los planes.

R5 Remediación R5.1 Corregir deficiencias de GRC. R5.2 Disciplinar a las personas. R5.3 Revelar la resolución de problemas.

R6 Retribuciones Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

130

Principled Performance®

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Establecer medidas y controles para retribuir las conductas deseables, corregir conductas indeseables, recuperarse de eventos y condiciones indeseables, y corregir debilidades de GRC identificadas.

Principios 01 Un sistema de controles bien diseñado debería incluir controles correctivos para detener, desacelerar y recuperarse de un evento adverso. 02 Los controles correctivos deberían entregar retroalimentación sobre cómo mejorar la prevención y detección de eventos adversos a futuro. 03 Incluir medidas y controles que retribuyan las conductas deseadas.

Factores Críticos de Éxito 01 Corregir ambos, el efecto adverso inmediato y la causa del evento. 02 Establecer una pista de auditoría para hacer un seguimiento de cuándo se realizan las actividades de control correctivo. 03 Al resolver un problema, considerar cómo se puede abordar la probabilidad, impacto y velocidad de hechos similares a futuro.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model R1.1 Establecer controles y medidas de reacción. R1.2 Establecer controles correctivos en los procesos. R1.3 Establecer controles correctivos para el capital humano. R1.4 Establecer controles tecnológicos correctivos. R1.5 Establecer controles físicos correctivos. R1.6 Monitorear e informar sobre los controles correctivos.

Entregables Clave Matrices Matriz de Riesgos y Controles Planes Plan de Actividades de Control Correctivo Informes Informe de Medidas Correctivas

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

131

Principled Performance®

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.1 ESTABLECER MEDIDAS Y CONTROLES DE RESPUESTA Establecer medidas y controles de respuesta que retribuyan las conductas deseables, castiguen las indeseables y corrijan las debilidades de GRC identificadas. Subprácticas Principales R1.1.01  Establecer medidas y controles correctivos que desaceleren y disminuyan el efecto de las conductas, hechos y condiciones indeseables. R1.1.02  Establecer medidas y controles correctivos que aborden las debilidades de GRC que permitieron que ocurrieran conductas, hechos y condiciones indeseables. R1.1.03  Establecer medidas y controles correctivos que castiguen las conductas indeseables. R1.1.04  Establecer medidas y controles que retribuyan las conductas deseables. R1.1.05  Establecer controles que garanticen que las medidas de reacción sean diseñadas y funcionen en forma eficaz.

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.2 ESTABLECER CONTROLES CORRECTIVOS EN LOS PROCESOS Establecer actividades de control correctivos en los procesos para detener, desacelerar y recuperarse de eventos adversos, e impedirlos a futuro. Subprácticas Principales R1.2.01  Establecer actividades de control en los procesos que detengan o desaceleren los eventos adversos. R1.2.02  Establecer actividades de control en los procesos que restauren el sistema a un estado estable. R1.2.03  Establecer actividades de control en los procesos que impidan eventos adversos a futuro. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

132

Principled Performance®

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.3 ESTABLECER CONTROLES CORRECTIVOS PARA EL CAPITAL HUMANO Establecer controles correctivos para el capital humano que detengan, desaceleren y recuperen de eventos adversos, y los impidan a futuro. Subprácticas Principales R1.3.01  Establecer los controles para suspender la autoridad del personal que participa o está relacionado con eventos adversos. R1.3.02  Establecer controles sobre la modificación o evasión de las estructuras para denunciar, una vez que se detectan los eventos adversos. R1.3.03  Establecer procedimientos para establecer equipos encargados de medidas correctivas, una vez que se detectan los eventos adversos.

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.4 ESTABLECER CONTROLES TECNOLÓGICOS CORRECTIVOS Establecer controles tecnológicos correctivos que detengan, desaceleren y recuperen de eventos adversos y los impidan a futuro. Subprácticas Principales R1.4.01  Establecer controles para eliminar o restringir el acceso a la tecnología que corresponda, una vez que se detectan eventos adversos. R1.4.02  Establecer controles para suspender las actividades de procesamiento, una vez que se detectan los eventos adversos. R1.4.03  Establecer los controles para mantener y archivar la información y documentos apropiados, una vez que se detectan los eventos adversos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

133

Principled Performance®

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.5 ESTABLECER CONTROLES FÍSICOS CORRECTIVOS Establecer controles físicos correctivos que detengan, desaceleren y recuperen de eventos adversos e los impidan a futuro. Subprácticas Principales R1.5.01  Establecer controles que aseguren y restrinjan el acceso a los bienes físicos pertinentes, una vez que se detectan eventos adversos. R1.5.02  Establecer controles de acceso físico a edificios y dependencias pertinentes, una vez que se detectan los eventos adversos. R1.5.03  Establecer controles para “reforzar” la infraestructura física, una vez que se detectan eventos adversos, entre los que se incluyen:  barreras,  refuerzos y  contención. R1.5.04  Establecer controles para detener o desacelerar el efecto de eventos adversos en bienes físicos (por ejemplo, sistemas de extinción de fuego).

R1 MEDIDAS Y CONTROLES DE RESPUESTA

R1.6 MONITOREAR E INFORMAR SOBRE LOS CONTROLES CORRECTIVOS Monitorear e informar sobre el avance de las actividades de control correctivo. Subprácticas Principales R1.6.01  Establecer un enfoque de monitoreo con responsables definidos para asegurar que se realicen las actividades de control correctivo. R1.6.02  Establecer informes e identificar receptores pertinentes que sean notificados cuando se realicen y finalicen las actividades de control correctivo.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

134

Principled Performance®

R2 INVESTIGACIÓN INTERNA

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Revisar y estar preparado para investigar alegatos o indicios de conductas indebidas o fallas de GRC para comprender los hechos, circunstancias, motivos y resolución apropiada.

Principios 01 Las personas necesitan tener confianza en el proceso para que denuncien incidentes y cooperen con las investigaciones. 02 El proceso debe ser lo bastante ágil para abordar las diferencias regionales y situacionales para cumplir con los mandatos legales. 03 El Directorio y la alta gerencia nunca deberían estar desprevenidos, sino que deben saber en forma oportuna de un problema que puede afectar significativamente a la entidad. 04 La información derivada del proceso para la resolución del problema debería fluir sin contratiempos hacia los procesos para identificar y corregir las debilidades que presenta GRC.

Factores Críticos de Éxito 01 Establecer un enfoque estratificado para reaccionar frente a los problemas que presenta n diferentes niveles de posible efecto en la entidad. 02 Establecer procedimientos para oportunamente:  captar y validar los incidentes,  categorizar los incidentes con una taxonomía definida,  priorizar los incidentes para realizar una investigación según prioridades,  identificar la necesidad de una investigación interna o externa de carácter legal,  garantizar la confidencialidad apropiada de la información y determinar la reserva,  asegurar una protección apropiada del anonimato y la no represalia en contra d e los denunciantes,  conservar registros y otras pruebas (mantención de documentos),  cursar las denuncias necesarias o entregar avisos a las partes externas, y  determinar la necesidad y oportunidad para suspender las operaciones comerciales. 03 Identificar el o los motivos del problema y abordarlos.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model R2.1 Definir el proceso de indagación e investigación. R2.2 Prepararse para investigar. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

135

Principled Performance®

R2.3 Realizar las investigaciones. R2.4 Informar los resultados de las investigaciones.

Entregables Clave Planes Plan de Administración de la Investigación Informes Reportes, Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

136

Principled Performance®

R2 INVESTIGACIÓN INTERNA

R2.1 DEFINIR EL PROCESO DE INDAGACIÓN E INVESTIGACIÓN Establecer procedimientos para indagar e investigar quejas o denuncias sobre cumplimiento o temas éticos, al igual que problemas detectados durante el monitoreo continuo o la evaluación periódica de GRC. Subprácticas Principales R2.1.01  Establecer un equipo para procesar los problemas que se identifican a través de quejas, inquietudes u otros métodos (otros se pueden sumar al equipo dependiendo caso a caso para abordar tipos específicos de problemas). R2.1.02  Definir un procedimiento para asegurar que los supuestos autores no participan del procesamiento o investigación y son removidos de cualquier situación cercana a la investigación. R2.1.03  Desarrollar y utilizar taxonomías para clasificar las denuncias y su nivel de gravedad. R2.1.04  Establecer un proceso inicial de selección para separar los problemas que pueden resolverse rápidamente de los que puede que necesiten una investigación. R2.1.05  Definir la metodología para el manejo de denuncias/investigaciones que incluye los siguientes pasos clave:  registrar y categorizar un problema o consulta (envío de consultas para encontrar las respuestas) durante su ingreso,  confirmación o validación de un problema,  análisis,  investigación,  escalar el problema a instancias superiores,  resolución, y  acciones disciplinarias. R2.1.06  Definir las políticas y procedimientos para determinar cuándo y cómo proteger la confidencialidad y anonimato de los denunciantes de acuerdo con los mandatos legales vigentes. R2.1.07  Definir las políticas y procedimientos para proteger la confidencialidad de toda la información entregada de acuerdo con los mandatos legales vigentes. R2.1.08 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

137

Principled Performance®

 Definir los “niveles de investigación” que identifican quién abordará una investigación dependiendo del alcance y tipo de situación. R2.1.09  Definir las categorías de problemas que inmediatamente se reportan al Directorio o un comité del directorio para su validación, como por ejemplo los que se encuentran a nivel de “crisis”, debido al efecto en la entidad o denuncias de actos indebidos cometidos por la alta gerencia. R2.1.10  Definir las categorías de problemas que son lo bastante significativos para ser reportados inmediatamente a la alta gerencia o asesor legal externo para su validación, debido a la naturaleza e importancia del posible efecto en la entidad. R2.1.11  Definir las categorías de problemas que son lo bastante graves para abordarlos en investigaciones especiales por investigadores designados inmediatamente para su validación, debido a la naturaleza del posible efecto en la entidad, por lo cual se establecen procedimientos específicos. R2.1.12  Definir las categorías de problemas que se prevén durante el curso del negocio y que aborda nivel del personal de línea como base las recomendaciones de los investigadores iniciales usando procedimientos específicamente establecidos. R2.1.13  Definir los formatos de planes para investigaciones estándar y especiales de problemas comunes dentro de cada nivel de investigación que aborden:  normas de procesamiento,  disposiciones del asesor legal,  normas sobre la reserva,  normas sobre la retención de registros,  normas sobre escalar situaciones a niveles superiores,  normas sobre las denuncias internas y externas, y  normas sobre la administración de las investigaciones (la necesidad de un asesor legal externo o investigadores internos especiales). R2.1.14  Realizar periódicamente una revisión de los datos informados para determinar tendencias, puntos problemáticos y controles que necesitan revisarse, y buscar perfiles concentrados por:  la geografía,  la ubicación específica,  el cargo o función,  el nivel de los empleados,  el tipo de empleados (ej.: empleados permanentes vs. temporales) y  el supervisor.

R2 INVESTIGACIÓN INTERNA

R2.2 PRESPARARSE PARA INVESTIGAR Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

138

Principled Performance®

Prepararse para ejecutar las actividades de la fase de investigación como parte del proceso de resolución del problema. Subprácticas Principales R2.2.01  Definir el alcance de la investigación planificada. R2.2.02  Clasificar el problema en un nivel de investigación en particular. R2.2.03  Determinar si existe una obligación de revelar de inmediato el problema al Directorio, auditores independientes u organismos fiscalizadores. R2.2.04  Determinar si la investigación se realizará en reserva de acuerdo con las normas establecidas. R2.2.05  Definir el equipo de investigación, las funciones y responsabilidades de cada miembro y el jefe del equipo, tomando en cuenta el tópico y alcance de la investigación. R2.2.06  Definir la necesidad de asistencia externa de acuerdo con las normas de clasificación establecidas, que incluye:  un asesor legal,  contadores,  expertos forenses y  consultores técnicos. R2.2.07  Documentar un hallazgo de inexistencia de interés particular (o conflicto) en el resultado por parte de cualquier miembro del equipo. R2.2.08  Definir quién está a cargo de supervisar investigación por parte de la administración. R2.2.09  Preparar el plan para la administración de la investigación (documentos que hay que conseguir, entrevistas que se deben realizar, datos que hay que analizar, informes y público previstos, presupuesto y normas sobre las pruebas que se deben seguir). R2.2.10 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

139

Principled Performance®

 Comenzar la retención de documentos necesarios de acuerdo con las normas establecidas. R2.2.11  Si es necesario, informar a la administración sobre la necesidad de suspender los procesos comerciales pertinentes (por ejemplo, la comercialización, etc.). de acuerdo con las normas establecidas. R2.2.12  Definir qué stakeholders serán informados sobre los resultados de la investigación y por qué métodos. R2.2.13  Definir un procedimiento para conservar la reserva, si procede, durante y después de finalizar la investigación de acuerdo con las normas establecidas. R2.2.14  Identificar los posibles hechos, acontecimientos o circunstancias que, si se descubren, pueden requerir de una ampliación del alcance original de la investigación y organizar una revisión oportuna de lo descubierto. R2.2.15  Definir un procedimiento y protocolos para coordinar la investigación con otros departamentos de acuerdo con las normas establecidas, los cuales incluyen:  relaciones públicas,  relaciones con los inversionistas,  marketing,  recursos humanos, y  unidades de negocio y el personal directivo.

R2 INVESTIGACIÓN INTERNA

R2.3 REALIZAR INVESTIGACIONES Realizar investigaciones compatibles con el plan y comunicarse con los stakeholders pertinentes y, al mismo tiempo, mantener un estado de reserva apropiado. Subprácticas Principales R2.3.01  Notificar a los empleados que serán entrevistados. R2.3.02  Recordarle a las personas involucradas, ya sea como notificadores, acusados o entrevistados, que el asesor legal y los investigadores representan a la entidad y no a ellos de manera individual. R2.3.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

140

Principled Performance®

 Solicitar y conseguir documentos, información electrónica y de otra índole. R2.3.04  Responder a las solicitudes de documentos. R2.3.05  Analizar los documentos, datos y la información extraída de las entrevistas para llegar a conclusiones. R2.3.06  Determinar qué conclusiones deberían documentarse y cuáles deberían presentarse en forma oral. R2.3.07  Hacer un seguimiento de la lista de elementos que se mantiene bajo reserva. R2.3.08  Hacer un seguimiento de la información que será revelada como no reservada e indicar que la revelación es intencional y controlada. R2.3.09  Identificar la(s) causa(s) que originan el problema que exige realizar una investigación. R2 INVESTIGACIÓN INTERNA

R2.4 INFORMAR LOS RESULTADOS DE LAS INVESTIGACIONES Comunicar los resultados de la investigación a la administración, organismos supervisores pertinentes y, si procede, a otros stakeholders y reguladores. Subprácticas Principales R2.4.01  Comunicar los resultados y recomendaciones a la administración, organismos supervisores pertinentes y otros stakeholders de acuerdo con las normas establecidas. R2.4.02  Comunicar cualquier resultado de alto impacto (o potencial impacto) al comité de auditoría del Directorio. R2.4.03  Si se exige o se determina apropiado según las normas establecidas, presentar informes y revelaciones a los organismos fiscalizadores. R2.4.04  Documentar cualquier recomendación que no se siga. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

141

Principled Performance®

R3 INVESTIGACIONES DE TERCEROS

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Administrar y reaccionar frente a indagaciones e investigaciones externas.

Principios 01 Estar preparado para reaccionar frente a una investigación minimizará una interrupción en el negocio. 02 Una cultura de cooperación con las indagaciones e investigaciones de terceros puede ayudar a controlar el alcance y el efecto en la entidad. 03 El hecho que exista una investigación externa en curso y sus resultados, no deberían ser una sorpresa para el Directorio y la administración. 04 La cooperación no significa una capitulación y la entidad puede protegerse a si misma y su información durante una investigación externa.

Factores Críticos de Éxito 01 Establecer un sistema eficaz para responder a las indagaciones externas antes de convertirse en investigaciones hostiles. 02 Contar con un plan de reacción preparado para enfrentar investigaciones sorpresa que incluyen la aparición repentina de investigadores en terreno y la incautación de documentos o dependencias. 03 Determinar el enfoque apropiado de cooperación en conjunto con el asesor legal y otros asesores. 04 Hacer un seguimiento de toda la información entregada a las investigadores externos.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model R3.1 Prepararse y abordar las indagaciones de terceros. R3.2 Prepararse para identificar investigaciones de terceros. R3.3 Prepararse para manejar investigaciones de terceros. R3.4 Prepararse para seleccionar un equipo interno para la investigación de terceros. R3.5 Prepararse para reaccionar frente a investigaciones específicas de terceros.

Entregables Clave Planes Plan de Administración de la Investigación Informes Reportes, Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

142

Principled Performance®

R3 INVESTIGACIONES DE TERCEROS

R3.1 PREPARARSE Y ABORDAR INDAGACIONES DE TERCEROS Identificar y responder a las consultas de terceros. Subprácticas Principales R3.1.01  Establecer varias formas para el ingreso de consultas de terceros, incluida pero sin limitarse a, un canal de consultas (helpline) anónimo. R3.1.02  Establecer procedimientos para revisar las preguntas entrantes de terceros, incluido:  determinar si las primeras consultas forman parte de una investigación en curso,  derivar las indagaciones a un asesor legal interno o externo, y  asignar las preguntas que no forman parte de una investigación a la persona pertinente para su respuesta o análisis oportuno (o negativa a entregar información). R3.1.03  Establecer respuestas aceptadas a las preguntas que se espera que pueden entregarse sin una mayor revisión o aprobación, por medio de un canal de consultas (helpline) o de otra forma. R3.1.04  Establecer una lista de tipos de preguntas que requieren una derivación a un asesor legal interno o que no se responderán sin una decisión de parte de un asesor legal.

R3 INVESTIGACIONES DE TERCEROS

R3.2 PREPARARSE PARA IDENTIFICAR INVESTIGACIONES DE TERCEROS Establecer métodos para garantizar que las personas pertinentes sepan sobre las investigaciones de terceros que se han iniciado. Subprácticas Principales R3.2.01  Establecer procedimientos para garantizar que las consultas que se formulen a la entidad por un canal de consultas (helpline) u otro método, las cuales se identifican como parte o precursoras de una investigación de terceros, sean enviadas al personal pertinente que está a cargo de examinar dichas investigaciones. R3.2.02  Establecer políticas y procedimientos para exigir reportar al personal pertinente de la administración cuando se esté en conocimiento de indagaciones o investigaciones de terceros que no son estándar. R3.2.03 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

143

Principled Performance®

 Establecer el monitoreo de fuentes externas para identificar el comienzo de una investigación de terceros, cuando sea posible.

R3 INVESTIGACIONES DE TERCEROS

R3.3 PREPARSE PARA MANEJAR INVESTIGACIONES DE TERCEROS Establecer políticas, procedimientos y responsabilidades para manejar diversos tipos de investigaciones de terceros. Subprácticas Principales R3.3.01  Establecer un inventario de tipos de investigaciones de terceros posibles y asignar responsables a cada uno (general o específica a tipos de riesgo o áreas de la entidad), entre los que se incluyen:  auditoría de cumplimiento de la entidad como proveedor,  investigaciones fiscalizadoras de rutina,  investigaciones fiscalizadoras que se relacionan con posibles transgresiones de carácter civil o penal,  investigaciones de particulares relacionadas con litigios o demandas legales,  investigaciones de stakeholders, entre los que se incluyen los inversionistas, prestamistas, garantes y agentes de bolsa,  investigaciones judiciales, e  incautaciones en el sitio físico o de documentos por parte de funcionarios de las fuerzas de orden. R3.3.02  Determinar y documentar los derechos de la entidad y resguardos en base a procedimientos dentro del contexto de cada tipo previsto de investigación, tomando como base la autoridad/entidad que investiga y la base legal de la investigación, además de considerar las necesidades de reserva y confidencialidad. R3.3.03  Establecer políticas y procedimientos que se deben seguir al comienzo de cada tipo de investigación, entre los que se incluyen:  procedimientos para establecer un equipo de reacción interno y el jefe del equipo,  procedimientos para responder a solicitudes y citaciones a entrevistas,  procedimientos para responder a solicitudes y citaciones relacionadas con documentos,  procedimientos para responder a información por la que ex empleados u otros stakeholders han sido contactados para entrevistas o por documentos, y  procedimientos para reaccionar frente a la presencia repentina en terreno de investigadores que exigen documentos o el embargo de las dependencias. R3.3.04  Establecer procedimientos para revelar la existencia de un tipo determinado de investigación al Directorio, auditores independientes, organismos fiscalizadores, acreedores o aseguradoras, cada vez que exista una obligación de hacerlo según acuerdos, contratos o políticas y procedimientos establecidos, y garantizar que la revelación cumple con las exigencias de fechas. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

144

Principled Performance®

R3.3.05  Establecer procedimientos para informar rápidamente a la alta gerencia y el Directorio o comité de auditoría de cualquier investigación, cuyo resultado pueda ser importante para la entidad, implique alguna infracción a la administración, indique un delito cometido por alguien de la entidad o genere un posible daño al prestigio, además de tomar en cuenta las necesidades de reserva y confidencialidad. R3.3.06  Establecer procedimientos para informar oportunamente a los encargados de manejar las relaciones públicas y relaciones con los stakeholders de la entidad sobre investigaciones y, en la medida necesaria, dentro del contexto de una conversación reservada. R3.3.07  Preparar métodos para determinar temas relativos a la reserva, privacidad y confidencialidad que puede que deban abordarse con los investigadores. R3.3.08  Preparar métodos para determinar conflictos de interés de personas (de la entidad o el organismo investigador) involucradas en la investigación.

R3 INVESTIGACIONES DE TERCEROS

R3.4 PREPARARSE PARA SELECCIONAR UN EQUIPO INTERNO PARA LA INVESTIGACIÓN DE TERCEROS Establecer procedimientos para seleccionar el equipo que representará a la entidad durante una investigación específica. Subprácticas Principales R3.4.01  Establecer listas iniciales de las personas (funciones) encargadas de implementar o supervisar los procedimientos establecidos para cada tipo de investigación, además de considerar que:  se pueden identificar a diferentes personas para las investigaciones en diferentes áreas o responsables de riesgo de la entidad,  diferentes personas pueden encabezar el equipo según el tipo de investigación, y  algunas investigaciones deberán ser manejadas completamente por el asesor legal externo. R3.4.02  Establecer una lista de asesores legales externos seleccionados o pre aprobados para consultar cuando surja la necesidad dada una investigación, y establecer procedimientos para contratarlo, si es necesario. R3.4.03  Aplicar las normas, políticas y procedimientos establecidos para el tipo de investigación para determinar qué personas dentro de la entidad se encargarán de supervisar la función de la entidad en la investigación, además de trabajar directamente con los investigadores y dirigir el equipo interno de la investigación. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

145

Principled Performance®

R3.4.04  Establecer procedimientos para verificar y revisar que los miembros del equipo no tienen conflictos de intereses o sesgo en el tipo de investigación y revisar continuamente a media que surja información. R3.4.05  Establecer políticas que garanticen que los miembros del equipo tienen autoridad bien definida y ésta será comunicada a todo el personal que puede tener que responder a sus solicitudes de información, documentos o entrevistas. R3.4.06  Establecer políticas y procedimientos que garanticen que los miembros del equipo sean relevados de otras tareas, según sea necesario, para dedicar tiempo para participar eficazmente en la investigación.

R3 INVESTIGACIONES DE TERCEROS

R3.5 PREPARARSE PARA REACCIONAR FRENTE A LAS INVESTIGACIONES ESPECÍFICAS DE TERCEROS Establecer procedimientos para preparar una reacción frente a una investigación específica. Subprácticas Principales R3.5.01  Establecer procedimientos para determinar si existe la obligación de revelar inmediatamente la existencia de una investigación específica al Directorio, auditores independientes, organismos fiscalizadores, acreedores o aseguradoras según acuerdos, contratos o políticas y procedimientos establecidos. R3.5.02  Preparar un plan estándar para administrar las respuestas para cada tipo de investigación, el cual pueda modificarse tomando en base a los hechos y circunstancias de una investigación específica, y aborde procedimientos para:  recopilar o identificar todos los documentos y datos solicitados, y comenzar a retener documentos para impedir cualquier destrucción o eliminación de rutina,  documentar con exactitud lo que se entrega a terceros,  llevar registro de la información que se revelará como de la “no-reservada” e indicar que la revelación es intencional y controlada,  llevar registro de la información “reservada” que se ha revelado,  determinar los individuos que deberán ser entrevistados para cumplir con las solicitudes de la investigación, tanto personal actual de la entidad como los ex empleados,  determinar si se rechazarán solicitudes de información y elaborar esa respuesta para estos caso que deberá ser revisada desde el punto de visto legal,  determinar la necesidad de negociar confidencialmente los acuerdos relativos a cierta información que se debe entregar a terceros y si la entidad debe procurar proporcionar información reservada de manera sellada, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

146

Principled Performance®



informar a los involucrados en la investigación como testigos, entrevistados u otros, que el asesor legal interno o externo representa sólo a la entidad y no a ellos en forma personal, y documentar que lo comprenden, y comunicar interna y externamente los resultados de la investigación y las medidas recomendadas.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

147

Principled Performance®

R4 REACCIÓN FRENTE A UNA CRISIS

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Planificar y reaccionar frente a una crisis, una interrupción del negocio y otros eventos significativos.

Principios 01 Es esencial proteger a las personas de daños físicos. 02 Es crítico tener una visión amplia de dónde podría surgir una interrupción. 03 El personal de las áreas comercial, informática, de manejo de emergencias, de asuntos públicos, de comunicaciones y de continuidad debería diseñar planes integrados. 04 Es esencial la comunicación constante, clara y redundante para lograr el buen manejo de una crisis. 05 Efectuar pruebas y simulacros de los planes de respuesta a crisis frente a una variedad de problemas entre las que se incluyen: peligros ambientales (incendios, huracanes, etc.), accidentes, violencia en el lugar de trabajo, pérdida o filtración de datos, fraude o corrupción por parte de ejecutivos de alto rango.

Factores Críticos de Éxito 01 Establecer y poner en práctica planes para abordar razonablemente tipos previstos de crisis. 02 Hacer participar a todas las funciones pertinentes, internas y externas, en la etapa de planificación. 03 Comunicar la información oportuna y apropiada a los stakeholders pertinentes durante la implementación de un plan de manejo de crisis.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model R4.1 Elaborar planes de manejo de crisis y de continuidad. R4.2 Identificar equipos de preparación frente a una crisis y equipos de reacción. R4.3 Probar los planes y procedimientos. R4.4 Coordinar los planes.

Entregables Clave Planes Plan de Crisis, Continuidad y Recuperación Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

148

Principled Performance®

R4 REACCCIÓN FRENTE A UNA CRISIS

R4.1 ELABORAR PLANES DE MANEJO DE CRISIS Y DE CONTINUIDAD Elaborar los planes para reaccionar frente a varios tipos de crisis y recuperarse de una interrupción en el negocio. Subprácticas Principales R4.1.01  Identificar los tipos de crisis que podrían surgir y crear una lista de ejemplos específicos considerados como probables o con un efecto significativo, si es que ocurrieran, incluidos los hechos con impacto a nivel de crisis en:  una planta o infraestructura física como por ejemplo desastres climáticos, accidentes o daño intencional a las estructuras,  el acceso a datos como por ejemplo una perturbación física a los servidores o una falla tecnológica,  la protección de la información confidencial o personal como por ejemplo un robo o violación a datos confidenciales o personales,  la capacidad de funcionar como por ejemplo interrupciones tecnológicas, cortes de electricidad o agitación política,  la confianza pública en productos o servicios,  el prestigio,  el personal como por ejemplo crisis sanitaria, y  la empresa, la comunidad o las personas producto de conductas delictuales violentas. R4.1.02  Realizar un análisis de impacto en el negocio respecto a cada tipo de crisis enumerada:  refinando el análisis de los riesgos y contextos internos y externos,  analizando los efectos tales como pérdida, retraso, incapacidad de acceder o atender a personas, sistemas, procesos, proveedores, clientes y socios comerciales clave, y  analizando la pérdida prevista de información tomando como base las estrategias de archivo y respaldo para sistemas y procesos. R4.1.03  Abordar las metas de continuidad y recuperación del negocio respecto a cada tipo de crisis:  determinando los objetivos sobre el tiempo de recuperación,  priorizando los procesos de negocio clave y las funciones más importantes,  seleccionando y documentando las estrategias de continuidad del negocio par a operaciones interinas y planes de recuperación,  documentando las operaciones interinas con sistemas de información y planes de recuperación, y  documentando las reacciones interinas y recuperación en las instalaciones. R4.1.04  Establecer una planes de reacción y planes de recuperación detallados respecto a cada tipo de crisis, incluyendo:  en el caso de una crisis física, políticas y procedimientos para la coordinación con las instituciones encargadas de la respuesta inmediata incluidos respecto de planes, procedimientos y protocolos de comunicación, para que puedan facilitar la seguridad, el rescate y las operaciones de emergencia, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

149

Principled Performance®

   

en caso de alegatos por conducta delictual, los procedimientos para interacciones con la policía o fiscalía, en el caso de interrupción o falla en la administración de datos, los planes de recuperación en caso de desastre, un plan y equipo asignado de comunicaciones, incluidas las relaciones legales, públicas y de inversionistas, según proceda, políticas y procedimientos de comunicaciones con el público con representantes designados por la entidad. Involucrar departamento de relaciones públicas, legal y de relaciones con inversionistas, según proceda, procedimientos para establecer un centro de operaciones alternativo alejado de la zona de peligro o crisis, políticas y procedimientos que prioricen la seguridad física de los empleados y las comunicaciones con sus familias, procedimientos para evaluar ejercer los derechos contractuales u otros de tipo legal con el objetivo de exigir una indemnización o entablar demandas por el seguro, y procedimientos para analizar la eficacia y desempeño de la reacción después de tomar medidas.

R4 REACCIÓN FRENTE A UNA CRISIS

R4.2 IDENTIFICAR EQUIPOS DE PREPARACIÓN FRENTE UNA CRISIS Y LOS EQUIPOS DE REACCIÓN Definir el personal encargado de la preparación frente a una crisis y aquellos que formarán parte de los equipos de reacción frente a una crisis para cada tipo de crisis identificado. Subprácticas Principales R4.2.01  Para cada tipo de crisis, identificar el personal responsable de la preparación y monitoreo de las señales de una crisis inminente. R4.2.02  Para cada tipo de crisis, identificar un equipo de reacción preliminar en cada lugar y mantenerlo actualizado, según sea necesario, para abordar los cambios de personal. R4.2.03  Identificar a la jefatura que está a cargo de comunicarse con el personal, las familias y los stakeholders respecto a cada tipo de crisis. R4.2.04  Determinar las autoridades subrogantes en caso que una persona con autoridad establecida no se encuentre disponible cuando surja una crisis.

R4 REACCIÓN FRENTE A UNA CRISIS

R4.3 PROBAR LOS PLANES Y PROCEDIMIENTOS Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

150

Principled Performance®

Probar y evaluar los distintos planes y procedimientos en caso de crisis. Subprácticas Principales R4.3.01  Para cada tipo de crisis, definir un plan de preparación y simulacro, incluido:  el alcance del ejercicio,  la frecuencia del ejercicio,  la responsabilidad del ejercicio de preparación,  quién participará, incluido nuevos integrantes del equipo de manejo de crisis, y  cómo se evaluará la reacción simulada. R4.3.02  Seleccionar el tipo apropiado de ejercicio de preparación y simulacro, incluido:  los escenarios de simulación,  las simulaciones y  los ejercicios de activación del plan. R4.3.03  Realizar ejercicios según el plan. R4.3.04  Evaluar el desempeño en comparación con el plan y la eficacia de la reacción.

R4 REACCIÓN FRENTE A UNA CRISIS

R4.4 COORDINAR LOS PLANES Coordinar los diversos planes de continuidad y de reacción anticipándose a una interrupción en el negocio que pueda abarcar más de una dependencia. Subprácticas Principales R4.4.01  Correlacionar los planes locales, regionales y nacionales. R4.4.02  Coordinar y racionalizar los objetivos de tiempo de recuperación en todos los planes de funciones individuales, departamentos, unidades de negocio o dependencias con disponibilidad proyectada de recursos. R4.4.03  Racionalizar los objetivos de tiempo de recuperación utilizando sistemas de información relativos a capacidades de recuperación. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

151

Principled Performance®

R5 REMEDIACIÓN

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Resolver los problemas verificados subsanando las debilidades de GRC y disciplinando a las personas y entidades responsables.

Principios 01 Es esencial para mantener la credibilidad el la seguridad con que se resuelve cada problema o incidente denunciado. 02 Las respuestas a crisis deberían abordar el problema inmediato y las causas implícitas identificadas, incluido los cambios en las medidas y controles de administración, si es necesario. 03 Las medidas disciplinarias que se aplican sistemática y objetivamente sirven de disuasivo.

Factores Críticos de Éxito 01 Entregar una notificación oportuna sobre la resolución del incidente/problema a los stakeholders internos y externos pertinentes. 02 Modificar las decisiones, procesos o recursos que causaron o permitieron que ocurriera el incidente o problema. 03 Establecer un proceso para registrar y cerciorarse de que existan medidas disciplinarias y asegurarse que la disciplina se aplica sistemáticamente y de ser requerido se reporta ascendentemente en la organización en situaciones que lo ameriten.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model R5.1 Reparar GRC. R5.2 Disciplinar a las personas. R5.3 Revelar la resolución de problemas.

Entregables Clave Matrices Matriz de Riesgos Priorizados Informes Reportes, Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

152

Principled Performance®

R5 REMEDIACIÓN

R5.1 REPARAR GRC Resolver cada incidente reportado, documentar el resultado y proponer los cambios a GRC apropiados para evitar problemas similares en el futuro. Subprácticas Principales R5.1.01  Proponer cambios a GRC para corregir fallas que causaron el problema o incidente. R5.1.02  Documentar los resultados incluido:  categorías de los resultados,  motivo,  resolución y  remediación. R5.1.03  Resolver los problemas o incidentes reportados usando los procesos de corrección. R5.1.04  Revisar la matriz de riesgos priorizados para reflejar el efecto de los incidentes detectados y las actividades de reparación en:  las actividades de optimización actuales e identificadas y  el análisis de probabilidad del riesgo residual actual y planificado.

R5 REMEDIACIÓN

R5.2 DISCIPLINAR A LAS PERSONAS Disciplinar a las personas por conducta indebidas. Subprácticas Principales R5.2.01  Definir y hacer cumplir un procedimiento y criterios para aplicar medidas disciplinarias sistemáticamente dado el tipo de mala conducta. R5.2.02  Administrar medidas disciplinarias apropiadas según las políticas, procedimientos, leyes y normas vigentes. R5.2.03  Hacer un seguimiento de las acciones disciplinarias e incluirlas en los archivos del personal y los registros Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

153

Principled Performance®

de toda la empresa. R5.2.04  Informar periódicamente al Directorio sobre medidas disciplinarias importantes que se han adoptado (y los hechos y circunstancias implicadas). R5.2.05  Revisar periódicamente medidas disciplinarias previas para asegurar que exista coherencia.

R5 REMEDIACIÓN

R5.3 REVELAR LA RESOLUCIÓN DE PROBLEMAS Cuando se exija o proceda, revelar los resultados y la resolución de las investigaciones a los stakeholders. Subprácticas Principales R5.3.01  Conforme a lo exigido, comunicar los resultados de las investigaciones a stakeholders externos. R5.3.02  Establecer procedimientos para revelar voluntariamente los resultados y la resolución de las investigaciones a stakeholders internos y externos, según proceda, entre los que se incluyen:  los organismos fiscalizadores,  las autoridades de las fuerzas de orden,  los inversionistas,  los clientes, y  el personal. R5.3.03  Proporcionar un solo punto de comunicación con los stakeholders.. R5.3.04  Informar a los stakeholders sobre los cambios resultantes en GRC.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

154

Principled Performance®

R6 RETRIBUCIONES

R1 Medidas y Controles de Respuesta R2 Investigación Interna R3 Investigaciones de Terceros R4 Reacción Frente a una Crisis R5 Remediación R6 Retribuciones

Reconocer e incentivar a los que contribuyen a alcanzar resultados positivos, incluido el logro de objetivos relativos al rendimiento, riesgo y conformidad. ESTE CONTENIDO SE ENCUENTRA EN DESARROLLO.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

155

Principled Performance®

M MEDIR

M C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Monitorear, medir y modificar GRC en forma periódica y constante para garantizar que los objetivos se alcancen de manera confiable, y al mismo tiempo abordar la incertidumbre y actuar con integridad. M1 Monitoreo del contexto M1.1 Monitorear el contexto externo. M1.2 Monitorear el contexto interno.

M2 Monitoreo del desempeño M2.1 Monitorear y evaluar el diseño de GRC. M2.2 Revisar y reconsiderar los riesgos. M2.3 Identificar las medidas y controles pertinentes. M2.4 Analizar la posibilidad de fallas. M2.5 Identificar la información de monitoreo. M2.6 Realizar actividades de monitoreo. M2.7 Analizar e informar los resultados del monitoreo.

M3 Mejoramiento sistemático M3.1 Elaborar un plan de mejoramiento. M3.2 Implementar iniciativas de mejoramiento.

M4 Aseguramiento

M4.1 Planificar la evaluación de aseguramiento. M4.2 Evaluación aseguramiento.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

156

Principled Performance®

M1 MONITOREO DEL CONTEXTO

M1 Monitoreo del Contexto M2 Monitoreo del Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento

Monitorear y analizar los cambios en el contexto interno y externo para determinar si GRC necesita cambios.

Principios 01 GRC debe ser lo bastante flexible para reaccionar rápidamente frente a los cambios en el contexto externo e interno, en el cual debe funcionar. 02 El no reconocer y reaccionar frente a los cambios que ocurren en el contexto puede generar una falla de las medidas y controles críticos de GRC. 03 GRC será más eficaz si la entidad identifica y evalúa oportunamente los cambios previstos en el contexto, y planifica los cambios.

Factores Críticos de Éxito 01 Monitorear el contexto externo e interno respecto a cambios posibles, planificados y reales que podrían volver ineficaz cualquier aspecto de GRC. 02 Asignar una responsabilidad bien definida para hacer un seguimiento de cada aspecto para identificar y analizar los cambios. 03 Establecer varios canales y recursos para garantizar que se identifican oportunamente los cambios en los contextos externos e internos.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model M1.1 Monitorear el contexto externo. M1.2 Monitorear el contexto interno.

Entregables Clave Matrices Matriz de Riesgos Priorizados Planes Plan Integrado Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

157

Principled Performance®

M1 MONITOREO DEL CONTEXTO

M1.1 MONITOREAR EL CONTEXTO EXTERNO Monitorear continuamente los cambios que se producen en el ambiente externo que pueden tener un efecto directo, indirecto o acumulativo en la entidad. Subprácticas Principales M1.1.01  Monitorear a los grupos de stakeholders respecto a cambios en sus opiniones y a las personas clave. M1.1.02  Monitorear las condiciones de mercado. M1.1.03  Monitorear a los participantes de la industria y la competencia respecto a temas de riesgos y cumplimiento. M1.1.04  Monitorear a pares de la industria definidas así por las similitudes en el número de personal, las actividades comerciales y el alcance geográfico respecto a temas de riesgos y cumplimiento. M1.1.05  Monitorear los cambios geopolíticos en todas las áreas pertinentes de la operación. M1.1.06  Monitorear los cambios en las exigencias externas, entre las que se incluyen las provenientes de:  leyes, reglas y normas,  lineamientos y pronunciamientos administrativos,  dictámenes judiciales importantes,  guías normativas,  guías judiciales,  interpretaciones legales,  órdenes de consentimiento y acuerdos sobre integridad,  actividades para la aplicación de normas,  contratos,  estándares y  compromisos con asociaciones profesionales. M1.1.07  Monitorear los cambios en las costumbres y prácticas de la industria y diferencias culturales en las localidades pertinentes. M1.1.08

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

158

Principled Performance®

 Notificar a los encargados de las actividades de optimización de los riesgos sobre los cambios en el contexto, incluidos los que se deben considerar de inmediato. M1.1.09  Los encargados de las actividades de optimización y análisis de riesgo revisan la matriz de riesgos priorizados y el plan para la optimización de los riesgos para reflejar, si procede:  los cambios en riesgos y exigencias adicionales,  el análisis revisado de los riesgos inherentes,  el análisis de los riesgos residuales actuales,  la categorización y priorización,  la estrategia para la optimización de riesgos,  las actividades para la optimización de riesgos, y  el riesgo residual planificado.

M1 MONITOREO DEL CONTEXTO

M1.2 MONITOREAR EL CONTEXTO INTERNO Monitorear continuamente los cambios en el ambiente interno que pueden tener un efecto directo, indirecto o acumulativo en la entidad. Subprácticas Principales M1.2.01  Monitorear los cambios significativos en la estrategia de negocio como por ejemplo:  los cambios en los objetivos, valores y estrategia del negocio,  el desarrollo de productos nuevos,  la expansión a nuevos mercados y  las fusiones y adquisiciones. M1.2.02  Monitorear los cambios en el personal. M1.2.03  Monitorear los cambios en los procesos. M1.2.04  Monitorear los cambios tecnológicos. M1.2.05  Monitorear los cambios en la cultura, incluida cualquier variación significativa a nivel de la cultura de unidades de negocio, departamentos, cargos o localidades. M1.2.06  Notificar a los encargados de las actividades de optimización de riesgo sobre los cambios en el contexto, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

159

Principled Performance®

incluidos los que se deben considerar de inmediato. M1.2.07  Los encargados de las actividades de optimización y análisis de riesgo revisan la matriz de riesgos priorizados y el plan para la optimización de los riesgos para reflejar, si procede:  los cambios en riesgos y exigencias adicionales,  el análisis revisado de los riesgos inherentes,  el análisis de los riesgos residuales actuales,  la categorización y priorización,  la estrategia para la optimización de los riesgos,  las actividades para la optimización de los riesgos, y  el riesgo residual planificado.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

160

Principled Performance®

M2 MONITOREO DEL DESEMPEÑO

M1 Monitoreo del Contexto M2 Monitoreo del Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento

Monitorear y evaluar periódicamente el desempeño de GRC para garantizar que su diseño y funcionamiento es eficaz, eficiente y responde al contexto externo e interno que está en constante cambio.

Principios 01 El monitoreo continuo de los aspectos clave y la evaluación periódica permite a la administración y el Directorio determinar si GRC funciona en forma eficaz y eficiente con el paso del tiempo. 02 El monitoreo entrega pruebas para sustentar las afirmaciones sobre la eficacia de GRC. 03 La evaluación del diseño y funcionamiento de GRC forma parte de la responsabilidad de la administración de garantizar las correcciones y mejoramientos oportunos del sistema.

Factores Críticos de Éxito 01 Considerar la eficacia de GRC para gobernar, administrar y auditar el desempeño, riesgo y cumplimiento. No limitar esfuerzos de revisión de la eficacia de prevenir/detectar conductas que originen responsabilidad penal o civil. 02 Evaluar los indicadores que evalúan la eficiencia, reacción, flexibilidad y capacidad de adaptarse que presenta GRC. 03 Periódicamente reevaluar el diseño de GRC para garantizar que siga pertinente en vista de los cambios en las circunstancias.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model M2.1 Monitorear y evaluar el diseño de GRC. M2.2 Revisar y reconsiderar los riesgos. M2.3 Identificar medidas y controles pertinentes. M2.4 Analizar la posibilidad de fallas. M2.5 Identificar la información de monitoreo. M2.6 Realizar actividades de monitoreo. M2.7 Analizar e informar los resultados del monitoreo.

Entregables Clave Planes Plan Estratégico de GRC y Plan Integrado Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

161

Principled Performance®

M2 MONITOREO DEL DESEMPEÑO

M2.1 MONITOREAR Y EVALUAR EL DISEÑO DE GRC Establecer un calendario para la reevaluación periódica de la pertinencia del diseño de GRC en vista de los objetivos, oportunidades, amenazas y exigencias. Subprácticas Principales M2.1.01  Definir los aspectos del diseño de GRC para que sean reevaluados periódicamente, entre los que se incluye:  la eficacia para evitar y detectar conductas o hechos que transgreden las exigencias obligatorias o las voluntariamente asumidas,  la eficiencia de los controles establecidos como parte del sistema,  la pertinencia de los controles seleccionados relativos al nivel de riesgo y  capacidad de reacción del sistema. M2.1.02  Seleccionar los métodos de monitoreo apropiados para cada aspecto de GRC tomando como base las metas y grado de aseguramiento, como por ejemplo:  tecnologías para identificar incidentes de incumplimiento de los procedimientos establecidos,  revisión periódica de muestras de informes, formularios u otra documentación exigida,  revisión periódica de indicadores de desempeño establecidos, y  revisión periódica de la información pruebas de control.

M2 MONITOREO DEL DESEMPEÑO

M2.2 REVISAR Y RECONSIDERAR LOS RIESGOS Revisar los riesgos que ya han sido evaluados y los que recién se han identificado, y reconsiderar o evaluar por primera vez su prioridad, tomando como base la mejor información que se dispone en la actualidad. Subprácticas Principales M2.2.01  Analizar la información proveniente de actividades para evitar, detectar y reaccionar, incluidas las investigaciones que se han finalizado y las que están en curso. M2.2.02  Analizar la información proveniente de las actividades para el control del capital humano. M2.2.03  Analizar la información proveniente de el monitoreo del contexto.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

162

Principled Performance®

M2 MONITOREO DEL DESEMPEÑO

M2.3 IDENTIFICAR LAS MEDIDAS Y CONTROLES PERTINENTES Revisar las medidas y controles correspondientes a objetivos de alta prioridad, amenazas, oportunidades y exigencias. Subprácticas Principales M2.3.01  Identificar las actividades de optimización de riesgo clave que, de fallar puede que no se detecten en forma oportuna (puntos de falla). M2.3.02  Identificar las actividades para la optimización de riesgo cuya falla podría desencadenar la falla de otras actividades para el mismo fin (puntos de falla en cascada). M2.3.03  Identificar las actividades para la optimización de riesgo que pueden compensar las fallas de otras actividades clave (actividades compensatorias clave). M2.3.04  Identificar otras actividades relacionadas para la optimización de riesgos.

M2 MONITOREO DEL DESEMPEÑO

M2.4 ANALIZAR LA POSIBILIDAD DE FALLA Analizar la posibilidad que fallen las actividades de control y optimización de riesgo, y las formas en que podrían hacerlo. Subprácticas Principales M2.4.01  Analizar las complejidades de los controles. Los controles más complejos normalmente presentan un mayor grado de posibilidad de falla. M2.4.02  Analizar las habilidades y conocimiento que se necesitan para realizar un control y la disponibilidad de éstas, ya que su escasez rápidamente afectará estos controles. M2.4.03  Analizar el grado de automatización en comparación con la ejecución manual del control ya que:  los controles manuales son más propensos al error humano que los automatizados y  los controles automatizados son más propensos a los errores voluminosos y repetidos, si existe un Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

163

Principled Performance®

problema sistémico. M2.4.04  Analizar las fallas anteriores relacionadas con los controles.

M2 MONITOREO DEL DESEMPEÑO

M2.5 IDENTIFICAR LA INFORMACIÓN DE MONITOREO Identificar la información que se debe utilizar para sustentar la evaluación del desempeño de la(s) actividades de optimización de riesgos o el rendimiento global de GRC. Subprácticas Principal M2.5.01  Identificar información concluyente que pueda utilizarse para definir si una actividad de control/optimización de riesgo es eficaz, eficiente y de buena reacción. M2.5.02  Considerar la información directa proveniente del monitoreo de los ambientes externos e interno. M2.5.03  Considerar la información directa sobre incidentes verificados y perfiles generales de conductas indebidas. M2.5.04  Considerar la información directa proveniente de las pruebas efectuadas a los controles. M2.5.05  Considerar la información indirecta generada por procesos de negocio para fines operativos. M2.5.06  Asegurar que la información sea suficiente, pertinente, confiable y oportuna. M2.5.07  Determinar qué información se puede revisar por medio de muestras y cuál necesita una revisión por completo. M2.5.08  Determinar qué información se debe considerar que no está incluida en documentos o fechas revisables y los métodos para revisar dicha información como por ejemplo entrevistas o encuestas. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

164

Principled Performance®

M2 MONITOREO DEL DESEMPEÑO

M2.6 REALIZAR ACTIVIDADES DE MONITOREO Realizar actividades de monitoreo para sustentar la evaluación del desempeño de GRC. Subprácticas Principales M2.6.01  Revisar los documentos y las muestras de datos identificados. M2.6.02  Realizar entrevistas y encuestas. M2.6.03  Consolidar la información de diferentes fuentes para permitir la comparación y el análisis.

M2 MONITOREO DEL DESEMPEÑO

M2.7 ANALIZAR E INFORMAR LOS RESULTADOS DEL MONITOREO Analizar los resultados de las actividades de monitoreo para identificar las debilidades y oportunidades instantáneas para llevar a cabo mejoramientos sistémicos. Subprácticas Principales M2.7.01  Identificar y analizar las razones de la existencia de información conflictiva. M2.7.02  Determinar la validez y confiabilidad de la información. M2.7.03  Determinar si las conductas indebidas o fallas de los controles superan las tolerancias aceptables establecidas. M2.7.04  Determinar si una serie de instancias de conductas indebidas o fallas de controles se relaciona con una localidad, supervisor, gerente o persona en particular. M2.7.05 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

165

Principled Performance®

 Determinar si una serie de fallas de los controles se relaciona con un proceso, capital humano, tecnología o control físico en particular. M2.7.06  Informar sobre los resultados y reacciones generales propuestas a los stakeholders pertinentes internos y externos.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

166

Principled Performance®

M3 MEJORAMIENTO SISTÉMICO

M1 Monitoreo del Contexto M2 Monitoreo del Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento

Identificar oportunidades de mejora de GRC utilizando información resultante de las actividades periódicas de monitoreo, al igual que de las actividades de detección

Principios 01 El mejoramiento continuo es el sello de GRC eficiente y de alto rendimiento. 02 Las actividades de mejoramiento permiten la implementación de innovaciones, a medida que están disponibles. 03 La fijación de un presupuesto para efectuar actividades periódicas de mejoramiento permite una fase productiva y eficiencia de GRC.

Factores Críticos de Éxito 01 Realmente ACTUAR al identificar oportunidades de mejora. 02 Establecer un dominio claro de los proyectos de mejora. 03 Incluir actividades de administración del cambio en todos los planes de mejora para garantizar que las personas tomen conocimiento y acepten los cambios.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model M3.1 Elaborar un plan de desarrollo y mejora continua. M3.2 Implementar iniciativas de desarrollo y mejora continua.

Entregables Clave Matrices Matriz de Riesgos Priorizados Planes Plan Estratégico de GRC y Plan Integrado Informes Informe sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

167

Principled Performance®

M3 MEJORAMIENTO SISTÉMICO

M3.1 ELABORAR UN PLAN DESARROLLO Y MEJORA CONTINUA Elaborar un plan priorizado para implementar mejoras a GRC. Subprácticas Principales M3.1.01  Preparar una cartera de iniciativas de desarrollo y mejora continua. M3.1.02  Comunicar el plan a la administración. M3.1.03  Definir las recomendaciones provenientes de informes y resultados de investigaciones que no se incluyen en el plan y entregar (una) explicación(es). M3.1.04  Obtener la autorización para ejecutar el plan de desarrollo y mejora continua.

M3 MEJORAMIENTO SISTÉMICO

M3.2 IMPLEMENTAR INICIATIVAS DE DESARROLLO Y MEJORA CONTINUA Implementar planes e iniciativas con medidas específicas destinadas a mejorar GRC. Subprácticas Principales M3.2.01  Adaptar las prioridades y planes existentes para hacer ajustes y agregar ítems. M3.2.02  Mejorar las capacidades de administración del cambio y de administración de proyectos/programas según la necesidad de las iniciativas adicionales. M3.2.03  Dedicar recursos para llevar a cabo las iniciativas. M3.2.04  Gestionar las iniciativas según los planes. l

M3.2.05

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

168

Principled Performance®

 Informar periódicamente sobre el estado de los proyectos y portafolio de proyectos. M3.2.06  Confirmar que las iniciativas se finalizaron como se definían en el plan desarrollo y mejora continua. M3.2.07  Evaluar si se lograron los objetivos de mejora previstos. M3.2.08  Documentar los cambios de GRC, incluidos los que se realizan, de haberlos, en el plan estratégico de GRC, la matriz de riesgos priorizados y el plan para la optimización de riesgo.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

169

Principled Performance®

M4 ASEGURAMIENTO

M1 Monitoreo del Contexto M2 Monitoreo del Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento

Proveer seguridad a la administración y el Directorio que GRC es confiable, eficaz, eficiente y con capacidad de reacción.

Principios 01 La administración y el Directorio necesitan seguridad razonable y provista de manera independiente sobre la eficacia y desempeño de GRC. 02 Los auditores internos, auditores externos o lo evaluadores pueden proporcionar aseguramiento, considerando que el nivel de seguridad está relacionado a la objetividad. 03 El nivel de seguridad deseado puede variar en diferentes épocas y para diferentes fines. 04 El nivel de seguridad se incrementa a medida que aumenta el nivel de independencia y la capacidad del evaluador, y se mejora aún más por medio del uso de normas independientes y objetivas o procedimientos acordados para una revisión.

Factores Críticos de Éxito 01 Emplear personal dedicado a disciplinas/funciones de aseguramiento que sea objetivo y calificado con experiencia en materia de evaluación. 02 Asegurar la independencia del personal dedicado a disciplinas/funciones de aseguramiento. 03 Utilizar la evaluación de riesgo para focalizar los esfuerzos de aseguramiento.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model M4.1 Planificar la evaluación de aseguramiento. M4.2 Realizar la evaluación de aseguramiento.

Entregables Clave Informes Plan sobre Resultados y Recomendaciones

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

170

Principled Performance®

M4 ASEGURAMIENTO

M4.1 PLANIFICAR LA EVALUACIÓN DE ASEGURAMIENTO Determinar el alcance, procedimientos y criterios necesarios para llegar al grado de seguridad deseado. Subprácticas Principales M4.1.01  Determinar el alcance de la revisión. M4.1.02  Determinar el nivel de seguridad deseado. M4.1.03  Tomando como base un cronograma, costos y objetivos, determinar si definir normas, procedimientos y criterios o utilizar normas objetivas emitidas independientemente o procedimientos acordados para una revisión, y si es así, identificarlos. M4.1.04  Identificar los encargados de realizar la evaluación que sustenta el nivel de seguridad.

M4 ASEGURAMIENTO

M4.2 REALIZAR LA EVALUACIÓN DE ASEGURAMIENTO Realizar los procedimientos, evaluar los resultados en comparación con los criterios y entregar el informe. Subprácticas Principales M4.2.01  Revisar los informes de monitoreo y los cambios en GRC llevados a cabo anteriormente por la administración como parte del proceso del aseguramiento. M4.2.02  Preparar un informe para la administración y el Directorio sobre el nivel de seguridad y las recomendaciones.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

171

Principled Performance®

I INTERACTUAR

C Contexto O Organizar A Analizar - Evaluar P Actuar Proactivamente D Detectar R Responder M Medir I Interactuar

Proveer a GRC con tecnología y administrar la información con el objetivo de que ésta, fluya eficiente y precisamente a través de todos (hacia arriba, abajo y transversalmente), en toda la empresa y a los stakeholders pertinentes. I1 Administración de la información I1.1 Crear una estructura para clasificar la información relativa a GRC. I1.2 Elaborar políticas y procedimientos de recolección de información de GRC. I1.3 Elaborar políticas y procedimientos para el acceso, uso y traspaso de información de GRC. I1.4 Elaborar la política y procedimientos del almacenamiento y eliminación de información de GRC.

I2 Comunicación I2.1 Elaborar un plan para la emisión de informes. I2.2 Elaborar un plan de comunicaciones.

I3 Tecnología I3.1 Evaluar las necesidades y carencias tecnológicas. I3.2 Elaborar la sección “Tecnología” del plan estratégico de GRC.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

172

Principled Performance®

I1 ADMINISTRACION DE LA INFORMACION

I1 Administración de la Información I2 Comunicación I3 Tecnología

Implementar y gestionar un sistema de administración de la información de GRC para que ésta sea pertinente, confiable, oportuna y segura, y esté disponible.

Principios 01 La información debería reconciliarse y ser coherente en toda la entidad para generar un flujo eficiente y preciso en la organización y hacia los stakeholders. 02 No es necesario tener un solo sistema para la administración de los registros en toda la organización, si la administración diseña u opera varios sistemas para generar una reconciliación, consolidación e intercambio eficientes de la información. 03 Las definiciones coherentes de términos y taxonomías aseguran que las diferentes partes de la entidad no tengan diferentes comprensiones de la información, ni exista información contradictoria. 04 Resulta dañino retener datos o no traspasar la información pertinente y necesaria a todas las partes de la entidad que la necesitan.

Factores Críticos de Éxito 01 Utilizar definiciones comunes de términos y taxonomías para crear, intercambiar y almacenar información. 02 Imponer uno o varios sistemas uniformes para la administración de la información, desde el cual se pueda combinar, comparar o compartir de manera fácil. 03 Establecer políticas y procedimientos coherentes relativos a la retención y recuperación de datos. 04 Considerar controles adicionales que se necesiten cuando la información se mantiene fuera de la entidad.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model I1.1 Crear una estructura para clasificar la información relativa a GRC. I1.2 Elaborar políticas y procedimientos sobre la recolección de la información de GRC. I1.3 Elaborar políticas y procedimientos para el acceso, uso y traspaso de la información de GRC. I1.4 Elaborar la política y procedimientos sobre el almacenamiento y eliminación de la información de GRC.

Entregables Clave Planes Plan de Crisis, Continuidad y Recuperación, y Plan para la Administración de la Información de GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

173

Principled Performance®

I1 ADMINISTRACIÓN DE LA INFORMACIÓN

I1.1 CREAR UNA ESTRUCTURA PARA CLASIFICAR LA INFORMACIÓN RELATIVA A GRC. Determinar las definiciones, clasificaciones y procedimientos necesarios para identificar y administrar la información de GRC, como parte de un plan para la administración de la información. Subprácticas Principales I1.1.01  Definir los registros de información de GRC. I1.1.02  Definir y mantener un programa y metodología para la clasificación. I1.1.03  Definir un proceso continuo para inventariar y clasificar la información, el cual incluya características como:  el tipo,  la exigencia de privacidad,  la exigencia de confidencialidad,  la exigencia de conservación,  la exigencia de retención,  la exigencia de eliminación,  la exigencia de disponibilidad,  el valor operativo/estratégico,  el propietario de los datos,  la fuente de información (base de datos/aplicación, correo electrónico, Excel, etc.),  los procesos de negocio relacionados y  las políticas relacionadas. I1.1.04  Considerar periódicamente los cambios en la estructura de clasificación y sus definiciones, y clasificaciones implícitas, para disminuir las necesidades futuras de conciliación.

I1 ADMINISTRACIÓN DE LA INFORMACIÓN

I1.2 ELABORAR POLÍTICAS Y PROCEDIMIENTOS SOBRE LA RECOLECCIÓN DE LA INFORMACIÓN DE GRC Establecer las políticas y procedimientos necesarios para recolectar la información de GRC proveniente de fuentes internas y externas de la entidad y toda la empresa, como parte de un plan para la administración de la información. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

174

Principled Performance®

Subprácticas Principales I1.2.01  Definir reglas y procedimientos para cumplir con las exigencias relativas a recolectar y crear información. I1.2.02  Definir políticas y procedimientos relativos a la propiedad de la información. I1.2.03  Definir un procedimiento y programas o factores desencadenantes para conciliar la información diferente. I1.2.04  Conciliar la información diferente sobre hechos programados o desencadenantes.

I1 ADMINISTRACIÓN DE LA INFORMACIÓN

I1.3 ELABORAR POLÍTICAS Y PROCEDIMIENTOS PARA EL ACCESO, USO Y TRASPASO DE INFORMACIÓN DE GRC Establecer las políticas y procedimientos para acceder, usar y traspasar información de GRC, como parte de un plan para la administración de la información. Subprácticas Principales I1.3.01  Definir reglas y procedimientos para cumplir con las exigencias relativas a manejar el acceso, la autorización y la autentificación, incluido:  la evaluación del nivel de acceso exigido,  la aprobación del propietario de los datos,  la administración del acceso (agregar, cambiar y eliminar),  los requisitos para las contraseñas,  el método de autentificación y  el acceso a los lugares físicos de almacenamiento. I1.3.02  Definir, clasificar, gestionar y almacenar los documentos, entregables y artefactos que son reservados/acceso privilegiado. I1.3.03  Definir las reglas y procedimientos para cumplir con las exigencias relativas al traspaso de la información. I1.3.04

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

175

Principled Performance®

 Definir los procedimientos para la notificación, retención y reacción frente a una violación de los procedimientos para el acceso y uso de la administración de información. I1.3.05  Definir los modelos de datos y la seguridad para todos los sistemas diseñados para habilitar los procesos y cumplir las exigencias.

I1 ADMINISTRACIÓN DE LA INFORMACIÓN

I1.4 ELABORAR POLÍTICAS Y PROCEDIMIENTOS SOBRE EL ALMACENAMIENTO Y ELIMINACIÓN DE INFORMACIÓN DE GRC Establecer las políticas y procedimientos que son necesarios para almacenar la información de GRC de acuerdo con las exigencias y objetivos de recuperación, como parte del plan de administración de la información. Subprácticas Principales I1.4.01  Definir las reglas y procedimientos para cumplir con las exigencias relativas a mantener la información almacenada. I1.4.02  Definir las reglas y procedimientos para cumplir con las exigencias relativas a la retención, destrucción, restauración y eliminación de la información. I1.4.03  Determinar las exigencias relativas al almacenamiento de los medios fuera de las dependencias y su rotación de los dispositivos de almacenamiento. I1.4.04  Definir cronograma para realizar el respaldo de la información (fuente y frecuencia). I1.4.05  Definir las reglas y procedimientos para cumplir con las exigencias relativas a la eliminación de la información vía sistemas/automática. I1.4.06  Definir las reglas y procedimientos para cumplir con las exigencias relativas a la eliminación manual de la información. I1.4.07  Definir un procedimiento para la eliminación de los datos en medios o hardware reciclados. I1.4.08 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

176

Principled Performance®

 Definir reglas y procedimientos para cumplir con las exigencias relativas a identificar y detener la destrucción de información. I1.4.09  Probar periódicamente la restauración de los datos desde medios de almacenamiento de respaldo. I1.4.10  Definir los procedimientos para la contención y reacción frente a una violación de los procedimientos para el almacenamiento y la eliminación de información.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

177

Principled Performance®

I2 COMUNICACIÓN

I1 Administración de la Información I2 Comunicación I3 Tecnología

Entregar información pertinente, confiable y oportuna al público apropiado, como lo exigen mandatos o cuando sea necesario para cumplir con las responsabilidades.

Principios 01 Un flujo efectivo de información en toda la entidad permite la toma de decisiones y mejora el desempeño. 02 La entidad debería ser capaz de entregar información consistente a aquellos que la necesitan, cuando necesitan saberla. 03 La entidad debe ser capaz de cumplir con las obligaciones imperativas de informar y entregar información confiable y comprensible a los stakeholders. 04 No toda la información se entrega por medio de informes formales, la comunicación informal puede tener una mayor repercusión.

Factores Críticos de Éxito 01 Monitorear y manejar las exigencias respecto a la periodicidad y contenido de los informes externos mandatorios. 02 Establecer políticas, procedimientos y factores que desencadenan el reporte inmediato a instancias superiores, o transmisión rutinaria de la información dentro de la entidad o a los stakeholders externos. 03 Mantener un registro completo y preciso de cómo se manejó la comunicación.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model I2.1 Elaborar un plan para la emisión de informes. I2.2 Elaborar un plan de comunicación.

Entregables Clave Planes Plan de comunicación y emisión de informes

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

178

Principled Performance®

I2 COMUNICACIÓN

I2.1 ELABORAR UN PLAN PARA LA EMISIÓN DE INFORMES Establecer un plan para asegurar el cumplimiento con las exigencias obligatorias de reporte y entregarlos a la administración, el Directorio y los stakeholders. Subprácticas Principales I2.1.01  Identificar informes externos exigidos por los reguladores y otros stakeholders, y crear una matriz que indique:  cronograma o hechos desencadenantes cada uno,  el contenido que se exige,  la ubicación o fuente del contenido que se exige,  la persona u oficina encargada de preparar y presentar cada informe,  la ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá,  la retención de registros y las normas sobre protección, y  el método para confirmar la entrega y recibo. I2.1.02  Definir informes internos que se necesitan para permitir que la entidad certifique que no existen transgresiones a los mandatos o políticas, y aquellos necesarios para administrar GRC, y preparar una matriz que indique:  cronograma o hechos desencadenantes para cada uno,  el contenido que se exige,  la ubicación o fuente del contenido que se exige,  la persona u oficina encargada de preparar y presentar cada informe,  los destinatarios de cada informe,  la ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá,  la retención de registros y las normas sobre protección, y  la necesidad de confirmar el recibo. I2.1.03  Definir los informes voluntarios (no-mandatorios) adicionales para los stakeholders y crear una matriz que indique:  cronograma o hechos desencadenantes de cada informe,  el contenido que se exige,  la ubicación o fuente del contenido que se exige,  la persona u oficina encargada de preparar y presentar cada informe,  la ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá, y  la retención de registros y las normas sobre protección. I2.1.04  Definir políticas y procedimientos relativos a la revisión y resolución cuando los informes reflejan los objetivos y tolerancias externos de rendimiento. I2.1.05 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

179

Principled Performance®

 Analizar la emisión de informes que ya existen y determinar discrepancias con los informes planificados y su manejo deseado.

I2 COMUNICACIÓN

I2.2 ELABORAR UN PLAN DE COMUNICACIÓN Definir cómo la entidad manejará las comunicaciones relacionadas con GRC que no corresponden a informes formales. Subprácticas Principales I2.2.01  Prepararse para elaborar un plan de comunicación de alto nivel:  definiendo el estado actual de conocimiento del público objetivo,  definiendo el estado futuro deseado,  analizar gaps, e  identificar áreas donde existe la probabilidad de resistencia al cambio. I2.2.02  Elaborar un plan de comunicación de alto nivel que identifique:  todos los mensajes clave de GRC, identificando remitentes y públicos objetivo,  las distintas comunicaciones que entregará cada mensaje, y  los hechos desencadenantes y el cronograma de entrega de alto nivel. I2.2.03  Determinar qué métodos y formatos de comunicación deberían utilizarse para cada categoría de mensaje, además de aplicar diversos métodos para mensajes clave y considerar el objetivo de la comunicación (educación, persuasión, información o entrevista) como por ejemplo:  papel,  correo electrónico,  sitios web,  letreros,  reuniones en persona,  transmisión por video o audio, o bien  comunicación personal directa. I2.2.04  Para cada comunicación:  elaborar el objetivo y contenido de la comunicación o mensaje,  obtener las autorizaciones que se exigen,  determinar quién responderá las preguntas,  determinar el o los métodos más eficaces de comunicación,  determinar la necesidad de comunicación redundante (frecuencia y tipo),  definir los métodos de comunicación básicos: o entre las funciones de GRC, o entre las funciones de GRC y las del negocio, y o entre las funciones de GRC y los stakeholders externos. Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

180

Principled Performance®

I2.2.05  Definir las interdependencias de las comunicaciones y los mensajes, y cómo cada una encaja en el panorama global de otros de la entidad.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

181

Principled Performance®

I3 TECNOLOGÍA

I1 Administración de la Información I2 Comunicación I3 Tecnología

Habilitar tecnología para GRC que se integre y, si procede, utilizar tecnología existente.

Principios 01 No todo tiene o puede ser automatizado; automatizar cuando optimiza los costos y riesgos de la entidad y los objetivos del rendimiento de GRC. 02 Emplear herramientas homogéneas en procesos similares genera eficiencia e información más precisa. 03 La planificación de soluciones de GRC se ve beneficiada por una participación anticipada de TI en el diseño de enfoques, estrategias y controles. 04 Resulta esencial una asociación entre los profesionales de GRC y los de TI con una comprensión común de las necesidades, procesos y capacidades para implementar la tecnología apropiada.

Factores Críticos de Éxito 01 Identificar los requerimientos tecnológicos de GRC en toda la entidad. 02 Hacer un seguimiento de las soluciones tecnológicas que actualmente se utilizan en la entidad para abordar las necesidades de GRC. 03 Evaluar los componentes tecnológicos que ya existen para su aplicación en las necesidades que se han identificado. 04 Incluir el plan tecnológico de GRC en el plan tecnológico global de TI.

Lineamientos y Prácticas Red Book 2.1 - GRC Capability Model I3.1 Evaluar las necesidades y carencias tecnológicas. I3.2 Elaborar la sección “Tecnología” del plan estratégico de GRC.

Entregables Clave Planes Plan Estratégico de GRC

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

182

Principled Performance®

I3 TECNOLOGÍA

I3.1 EVALUAR LAS NECESIDADES Y CARENCIAS TECNOLÓGICAS Identificar las carencias y sistemas con rendimiento insuficiente en el ambiente tecnológico que ya existe. Subprácticas Principales I3.1.01  Identificar los procesos y controles clave que son menos propensos a los errores y más eficientes si se los habilita con tecnología. I3.1.02  Definir los requerimientos tecnológicos de GRC. I3.1.03  Comprender el ambiente tecnológico que ya existe. I3.1.04  Correlacionar las exigencias de funcionalidad con las capacidades que ya existen. I3.1.05  Identificar las redundancias en las soluciones tecnológicas que ya existen. I3.1.06  Seleccionar entre los sistemas existentes, el o los que cumplen mejor con las exigencias de funcionalidad. I3.1.07  Identificar las exigencias funcionales que no se cumplen. I3.1.08  Identificar las prioridades para el mejoramiento o nuevas soluciones.

I3 TECNOLOGÍA

I3.2 ELABORAR LA SECCIÓN “TECNOLOGÍA” DEL PLAN ESTRATÉGICO DE GRC Elaborar un plan para implementar la tecnología para habilitar los procesos de GRC y los flujos de información. Subprácticas Principales I3.2.01 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

183

Principled Performance®

 Determinar qué soluciones tecnológicas deben compartir información, crear y almacenar información. I3.2.02  Decidir qué soluciones que ya existen pueden y deberían mejorarse o ampliarse para sati sfacer necesidades similares en otras partes de la entidad o de GRC. I3.2.03  Decidir qué soluciones nuevas deberían complementar o reemplazar las que ya existen. I3.2.04  Decidir si crear o comprar soluciones nuevas identificadas. I3.2.05  Elaborar un plan para las iniciativas tecnológicas priorizadas para crear, comprar o mejorar usando metodologías de TI (plan tecnológico de GRC). I3.2.06  Determinar el dueño y responsable de los recursos y presupuesto actuales para habilitar componentes tecnológicos. I3.2.07  Conciliar los conflictos relativos a fecha entre las prioridades para la implementación tecnológica de GRC, el plan estratégico de GRC y el plan del mismo tipo de TI.

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

184

Principled Performance®

APÉNDICE A – ENTREGABLES

DEL.A – Autorizaciones DEL.A.01 – Autorizaciones externas Entrega de aprobación, autoridad o aceptación proveniente de una entidad o autoridad geopolítica no controlada por la entidad que la recibe.

Mencionado en: P1, D2

DEL.A.02 – Autorización interna Entrega de aprobación, autoridad o aceptación proveniente de una persona a la que se le entrega rol de rendir cuentas o responsabilidad de una actividad, función, proceso o entidad en particular.

Mencionado en: O1, O3 y D2

DEL.A.03 – Estatutos de GRC Un documento de una autoridad directiva que define el fin, objetivo y autorización de una persona o grupo para realizar actividades dentro del alcance especificado.

Mencionado en: O1

DEL.A.04 – Segregación de funciones Un documento que refleja que las responsabilidades de algunas funciones o cargos deberían diferenciarse de las de otras, como medida cautelar para evitar fraudes, errores o conflictos de interés,

Mencionado en: O3 y P1

DEL.D – Descripciones DEL.D.01 – Descripciones de funciones o cargos Una explicación detallada de las responsabilidades y expectativas de una persona en una función o cargo en particular, que generalmente incluye:  las obligaciones de rendir cuentas y las responsabilidades relativas a la supervisión y fiscalización,  las obligaciones de informar,  la medición del desempeño y objetivos a nivel personal, y  las habilidades, conocimientos y experiencia.

Mencionado en: O2 y P1

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

185

Principled Performance®

DEL.D.02 – Descripciones sobre el modelo de datos de la tecnología de GRC

APPENDIX A - DELIVERABLES Un documento que describe la estructura y las relaciones que existen entre los datos dentro de un componente tecnológico clave de GRC.

Mencionado en: P1

DEL.D.03 – “Preguntas Frecuentes” del canal de consultas (helpline) Una descripción completa y detallada de las preguntas que se formulan con frecuencia en el del canal de consultas (helpline), junto con la guía preferente y la información o recursos relacionados para entregarle a la persona que llama o de uso para el personal del canal.

Mencionado en: P4

DEL.D.04 – Lista de verificación en las entrevistas de salida Un documento que enumera las actividades que se deben llevar a cabo y las preguntas que se deben formular durante una entrevista a un stakeholder interno antes de su partida de la entidad.

Mencionado en: D1

DEL.I – Normas internas DEL.I.04 – Taxonomía de control Un vocabulario común para describir las categorías de controles en varios aspectos: Aspecto 1  controles preventivos,  de detección y  correctivos Aspecto 2  proceso  capital humano  tecnología  controles físicos

Mencionado en: D1

DEL.M - Matrices APPENDIX A - DELIVERABLES

DEL.M.01 – Matriz de políticas y procedimientos relacionados Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

186

Principled Performance®

Una matriz/tabla que correlaciona cada política con sus atributos y otras políticas o procedimientos y, optativamente, con la capacitación, los informes u otras fuentes de prueba de cumplimiento.

Mencionado en: P1 y P3

DEL.M.02 – Matriz de riesgos priorizados Una matriz/tabla que correlaciona cada riesgo con sus atributos como por ejemplo:  la clasificación o priorización,  las fuentes de riesgo (evento, tendencia, exigencia, etc.),  el análisis de riesgo inherente (probabilidad, efecto y duración),  las actividades actuales de optimización implementadas,  el análisis de riesgo residual actual (probabilidad, efecto y duración),  las actividades de optimización planificadas, y  el análisis de riesgo residual planificado.

Mencionado en: A1, A2, A3, P1, P4, P5, P7, R5, M1 y M3

DEL.M.03 – Matriz de riesgos y controles Una lista de riesgos correlacionados con las medidas y controles proactivas, de detección y de reacción correspondientes.

Mencionado en: P1 y R1

DEL.P – Planes DEL.P.01 – Plan de sensibilización y educación Una sinopsis que refleja el orden, periodicidad, audiencia y responsabilidad de todas las comunicaciones y actividades educacionales que se llevarán a cabo durante el curso de uno o varios años para sensibilizar respecto a:  el compromiso de la entidad para cumplir sus exigencias de GRC;  las capacidades de GRC;  los canales para resolver consultas sobre las responsabilidades y expectativas de GRC;  las actividades de GRC diseñadas para cumplir con las exigencias de GRC, y  educar respecto a las responsabilidades específicas del personal general, toda la empresa y aquellos en funciones determinadas de GRC.

Mencionado en: P4

DEL.P.02 – Plan de comunicación y emisión de informes Un programa que exponga las estructuras, procesos y recursos para entregar información (para informar o persuadir) a aquellos con autoridad para influir o monitorear un programa o iniciativa. Un plan incluiría:  el público objetivo/audiencia,  los objetivos de la comunicación,  el método de entrega,  la periodicidad de entrega, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

187

Principled Performance®

 

quién rinde cuenta y está a cargo de la comunicación y a quién debería consultarse respecto a la comunicación, y para una serie de comunicaciones, las dependencias entre ellas y la periodicidad relativa.

Mencionado en: P6, D2, D3 y I2

DEL.P.03 – Plan de crisis, continuidad y recuperación Uno o varios documentos que exponen las estructuras, procesos, protocolos y recursos para reaccionar frente a una crisis, entregar operaciones interinas hasta la reanudación total del negocio y recuperarse de los efectos de un acontecimiento adverso. Dichos planes incluirían:  los nombres e información de contacto del personal clave a cargo de la reacción frente a una crisis,  la identificación y responsables de los recursos, procesos, sistemas, relaciones con los proveedores y con los clientes clave,  la designación de los coordinadores de seguridad y evacuación, las vías y sitios para evacuar,  los puntos de contacto con los stakeholders clave (policía, bomberos, empresas de servicios públicos, medios de información, representantes de los empleados, relaciones de los inversionistas, analistas, etc.), y  los componentes de este entregable incluirían: o la autoridad subrogante; o el plan de operaciones de emergencia; o el plan de operaciones interinas; o el plan para la recuperación de los sistemas de información; o el plan de reanudación de las operaciones; o los procedimientos operativos de emergencia; y o los planes de pruebas.

Mencionado en: R4 y I1

DEL.P.05 – Plan para la administración de la información de GRC Un documento que expone las estructuras, procesos y recursos para administrar la información de GRC durante todo el ciclo de vida de la información, e incluiría:  un programa de clasificación para la información y los registros y  políticas y procedimientos relacionados:  la recolección de información;  el acceso, uso y traspaso de información; y  el almacenamiento, retención, eliminación y recuperación de la información.

Mencionado en: I1 APPENDIX A - DELIVERABLE

DEL.P.06 – Plan estratégico de GRC Un documento que detalla las estructuras, procesos, tecnologías, recursos, objetivos y medidas para establecer y mantener la capacidad necesaria para lograr la misión y visión. Los componentes incluirían:  los estatutos,  la declaración de la misión o visión,  los resultados e hitos de madurez (junto a la correlación con los objetivos del negocio)  el caso de negocios, Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

188

Principled Performance®

      

la estrategia de medición (métrica, indicadores, método de cálculo, frecuencia de medición, naturaleza y frecuencia de la emisión de informes), el organigrama, el plan de capital humano y las relaciones con los proveedores (para la implementación y operaciones en curso), el plan financiero (puesta en marcha y operaciones), el plan tecnológico, el plan de aseguramiento, y el plan de implementación.

Mencionado en: C3, O1, O3, M2, M3 y I3

DEL.P.07 – Plan de administración de la investigación Un documento que expone las estructuras, procesos, protocolos y recursos para realizar y concluir una investigación. El plan incluiría:  la estructura para la dirección de la investigación,  el equipo de investigación,  el plan de comunicación y emisión de informes,  los procedimientos operativos y de comunicación,  el presupuesto,  el programa proyectado de las actividades, y  el plan tecnológico (para la administración del equipo, investigación e información).

Mencionado en: R2 y R3

DEL.P.08 – Plan integrado Un documento que detalla los procesos y recursos asignados para lograr los objetivos de manera confiable, al mismo tiempo de abordar la incertidumbre y actuar con integridad.

Mencionado en: A3, P1, P4, P5, P7, M1, M2 y M3

DEL.P.09 – Plan de estudios especializados en GRC Una sinopsis que refleja el orden y las fechas de todos los cursos par a cada una de las funciones de GRC y puede incluir una descripción detallada de cada uno: APPENDIX A - DELIVERABLES  el nombre del curso,  sus objetivos,  las habilidades que se desarrollan y  las opciones de asistencia (en línea, video o presencial) junto con los requisitos sobre habilidades respecto a cada curso.

Mencionado en: O2

DEL.P.10 – Plan de actividades de control correctivo Un plan que detalla las medidas que se deben tomar para detener o desacelerar un evento adverso que afecte a una entidad; y restablecer el sistema hasta estabilizarlo.

Mencionado en: R1 Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

189

Principled Performance®

DEL.R – Informes DEL.R.01 – Reportes Cualquier documento oficial que se presenta a la autoridad gubernamental (administrativa, fiscalizadora, legislativa o judicial).

Mencionado en: P6, D1, R2, R3 y R5

DEL.R.02 – Informe sobre resultados y recomendaciones Una presentación o declaración del resultado de una actividad o análisis junto con las recomendaciones respecto a cambios o mejoramientos.

Mencionado en: P1 , P2 , P4 , P5 , D1 , D3 , R2 , R3 , R4 , R5 , M1 , M2 , M3 y M4

DEL.R.03 – Informe de medidas correctivas Lista de actividades de control correctivo, agrupadas por tipo de control correctivo, al igual que categoría de evento adverso corregido. La información de periodos anteriores puede incluirse para llevar a cabo comparaciones y análisis. Las actividades que se han finalizado, se encuentran en curso y se realzarán a futuro deberían detallarse en el plan.

Mencionado en: R1

DEL.S – Estados de situación APPENDIX A - DELIVERABLES

DEL.S.01 – Código de conducta Una guía que relaciona los valores y principios de una entidad con las normas sobre conducta profesional.

Mencionado en: P2

DEL.S.02 – Lineamientos éticos para la toma de decisiones La recomendación de la entidad sobre los factores que se deben considerar junto con las exigencias, políticas y filosofías aplicables al determinar la línea de acción apropiada cuando se enfrenta un dilema ético.

Mencionado en: P2

DEL.S.03 – Declaración sobre misión, visión y valores Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

190

Principled Performance®

Una descripción verbal o documentada de las principales metas, creencias, valores, condición futura deseada y plan global que sirve de guía para las actividades de la entidad e inspira a las personas a actuar en consecuencia.

Mencionado en: C4

DEL.S.04 – Declaración de objetivos organizacionales Una declaración de los resultados tangibles que la entidad espera lograr por medio de la ejecución de su misión y visión.

Mencionad en: C4

Este documento no constituye una asesoría legal o profesional. Contacte a un profesional respecto a sus necesidades específicas.

191

Principled Performance®

OCEG es un grupo de expertos sin fines de lucro que ayuda a las entidades a impulsar Principled Performance, logrando los objetivos de manera confiable, y al mismo tiempo abordar la incertidumbre y actuar con integridad. www.oceg.org “Principled Performance” y “Driving Principled Performance” son marcas registradas de OCEG.

D R I VI N G P R I N C I P L E D P E R F O R M AN C E