Red Book GRC Capability Model by Orlando Pineda Vallar

Agradecimientos El trabajo continuo de OCEG se ha hecho posible gracias al soporte de sus más de 47,000 miembros globales de miles de organizaciones de todos los tipos y tamaños. Apreciamos especialmente la participación y soporte adicional que recibimos de las siguientes organizaciones en 2015, quienes patrocinaron o financiaron nuestros muchos proyectos, aportando liderazgo en pensamiento y participando en nuestro Consejo de Soluciones GRC o el Consejo Ejecutivo. Por favor, únase a nosotros para agradecer a estas organizaciones líderes y sus representantes:

Star Supporters

Executive and Solutions Council Members

Tabla De Contenidos Tabla De Contenidos ............................................................................................................... 0 Liderazgo del Red Book 3.0 .................................................................................................... iii Licenciamiento ...................................................................................................................... iv Introducción al Desempeño basado en Principios y GRC. ........................................................ 1 El objetivo del Desempeño Basado en Principios. ............................................................................. 2 El Concepto de GRC .......................................................................................................................... 4 Beneficios de las Capacidades Integradas de GRC ............................................................................. 5 ¿Quiénes están involucrados? .......................................................................................................... 7 ¿Cuál es el Punto? .......................................................................................................................... 14 ¿Cómo se logra? ............................................................................................................................. 15 ¿A qué se parece? .......................................................................................................................... 16

Anatomía del Modelo de Capacidad de GRC ......................................................................... 16 Componentes ................................................................................................................................. 16 Elementos ...................................................................................................................................... 17 Practicas ........................................................................................................................................ 19 Acciones y Controles ...................................................................................................................... 19 Documentación Recomendada ....................................................................................................... 19

Materiales de Apoyo ............................................................................................................ 21 Modelo de Capacidad de GRC Versión 3.0 ............................................................................. 23 LC – COMPRENDER ......................................................................................................................... 24 AA – ALINEAR ................................................................................................................................. 30 PE – EJECUTAR ............................................................................................................................... 38 RE – EXAMINAR .............................................................................................................................. 50

Apéndice A – Prácticas .......................................................................................................... 54 COMPRENDER ................................................................................................................................ 55 ALINEAR ......................................................................................................................................... 65 DESEMPEÑAR ................................................................................................................................. 83 EVALUAR ...................................................................................................................................... 115 i

Apéndice B – Documentación Sugerida ............................................................................... 120 DOC.A – Autorizaciones ................................................................................................................ 121 DOC.D – Descripciones ................................................................................................................. 121 DOC.I – Normas internas .............................................................................................................. 122 DOC.M – Matrices ........................................................................................................................ 122 DOC.P – Planes ............................................................................................................................. 123 DOC.R – Informes ......................................................................................................................... 125 DOC.S – Estados de situación ....................................................................................................... 126

Apéndice C – Aportes al Red Book Desarrollo de Versiones 1.0 – 3.0 ................................... 127 Comité de Liderazgo del Red Book ............................................................................................... 128 Co-‐ Directores del Comité Ejecutivo Red Book 2.0 ........................................................................ 129 Comité Ejecutivo Red Book (V 1.0 – 2.1) ....................................................................................... 130 Equipo de Trabajo y Supervisores de Red Book (V1.0 – 2.1) .......................................................... 131

Liderazgo del Red Book 3.0 El desarrollo de la Versión 3.0 ha sido liderado por: Autores Principales: Carole S. Switzer, OCEG Co-Fundador & Presidente Scott L. Mitchell, OCEG Co-Fundador & Chairman Autor Contribuyente: Jason Lee Mefford, Managing Director de GRC Certify OCEG cuenta con la experiencia de un grupo élite de individuos y organizaciones que aportan sus conocimientos y valiosos consejos como apoyo en nuestra búsqueda de servir a las necesidades de conocimiento y recursos de los profesionales de GRC. Muchos han participado en diversas etapas de desarrollo del Red Book a lo largo de los años, así que hemos incluido una lista de las personas que han contribuido al desarrollo del Red Book 1.0 y posteriores actualizaciones en el Apéndice C, indicando su afiliación en el momento de su aporte. Además, agradecemos a las personas que se mencionan a continuación por sus importantes contribuciones a los debates sobre Desempeño Basado en Principios y la necesaria integración de las capacidades de GRC, que han guiado el desarrollo del Red Book 3.0. Clark Abrahams

Bruce McCuaig

Brian Barnier

Bob Miromonte

Brett Curran

Andrew Neblett

David Childers

Marie Patterson

Joe DeVita

Michael Rasmussen

Shaheen Javadizadeh

Kelly Ray

Larry Harrington

Scott Roney

Anita Helpert

Mike Rost

Stephanie Jenkins

Nicole Sandford

Tim Leech

Billy Spears

Stephane Legay

Jose Tabuena

Paul Liebman

Marshall Toburen

Jimmy Lin

Patrick Quinlan

Norman Marks

Ricardo Vasquez

Jay Martin

Dan Zitting

iii

Licenciamiento El Modelo de Capacidad Red Book de OCEG está licenciado por OCEG bajo una Atribución Creative Commons— Share Alike 3.0 Unported License. Permisos más allá del alcance de esta licencia pueden estar disponibles en http://www.oceg.org/advanced-license-permissions.

Esta licencia permite: •

Compartir — copiar y redistribuir el material

•

Adaptar — reajustar, transformar y crear a partir del material

Bajo estos términos: •

Atribución — Debe darle crédito a esta obra de manera especificada por el autor o el licenciante (pero no de forma tal que sugiera que su uso tienen el apoyo del licenciante).

•

Uso Compartido — Si se altera, transforma o construye a partir de este trabajo, debe distribuir el producto resultante solamente bajo licencias iguales o similares a esta.

Atribución: Al atribuir el trabajo de OCEG: •

Incluir en el sitio o a lo largo del documento el texto "Incluye material copiado de o derivado de OCEG en http://www.oceg.org" (Incluir un hipervínculo cuando sea posible); y

•

Para cada uso específico, incluir el texto "Incluye material copiado o derivado de [título y dirección electrónica e hipervínculo (en los casos en que sea posible) de la página de OCEG o documento]."

Entendemos que algunas organizaciones no podrán utilizar contenidos de código abierto en sus productos y/o proyectos. Por tanto, también ofrecemos otras licencias que permiten incluir este contenido en su proyecto/producto. Contáctenos en info@oceg.org para más detalles. OCEG, Desempeño Basado en Principios y Modelo de Capacidad de GRC son marcas registradas de OCEG.

Traducción del Red Book 3.0 al español Esta traducción del Red Book ha sido provista por el equipo de consultores y expertos de GRC de Baker Tilly (en Colombia y LATAM). Gracias a todos los que participaron en el proceso de traducción y revisión.

Introducción al Desempeño basado en Principios y GRC. El actual clima empresarial es mucho más complejo y difícil que antes. Problemas que, históricamente, eran inherentes sólo a las grandes compañías internacionales, están afectando a las empresas pequeñas, las organizaciones sin fines de lucro y los organismos gubernamentales. Así mismo, las partes interesadas1- stakeholders internos y externos- no sólo exigen un alto desempeño empresarial, sino también transparencia en las operaciones del negocio. Bajo este contexto, los riesgos y requerimientos son numerosos, varían constantemente y de manera rápida causando impactos relevantes en las organizaciones. El uso de terceros dentro de la organización –insourcing-, así como haciendo parte de su cadena de valor –outsourcinges cada vez más generalizado y difícil de manejar. La variedad, velocidad y volumen de los cambios dentro y fuera de las organizaciones es abrumador. Nuevas regulaciones, decisiones de negocios, cambios de personal y desarrollo de las tecnologías son sólo algunos de los muchos ejemplos que connotan la expansión del cambio. Así, se tiene como resultado que los costos de la gestión de riesgos y requerimientos que soportan la gestión del desempeño para el logro de los objetivos operan por fuera de control. Muchas organizaciones, tanto a nivel de la empresa global como de sus unidades de negocio, fallan al establecer los objetivos y las estrategias que les resultan apropiadas, por cuanto no considera un entendimiento integral del desempeño, el riesgo y los asuntos de cumplimiento relacionados. Muchas otras organizaciones, a su vez, fallan en la ejecución de sus estrategias, el monitoreo del desempeño y los ajustes oportunos que éstos requieren. Por su parte, un gran número de entidades fallan en el cumplimiento de las regulaciones y otros requerimientos, o bien en estar atentos a los requerimientos que les aplican. Aún aquellas organizaciones que ejecutan un trabajo adecuado internamente, fallan al requerir las mismas acciones a los terceros o partes relacionadas que emplean. En todos estos casos, hay una falta de

Stakeholders se entiende a lo largo de todo el documento Red Book – V3 bajo la expresion: “partes interesadas”.

supervisión relevante, significativa y continua desde los órganos de gobierno, de manera que la confianza en el negocio y sus operaciones es frágil, vacilante y limitada. En resumen, estas situaciones generan que el statu quo de muchas empresas no sea sustentable ni sostenible en el corto y largo plazo.

El objetivo del Desempeño Basado en Principios. Para abordar este problema creciente y de gran envergadura, muchas entidades han adoptado una visión que apunta hacia el desempeño basado en principios; un punto de vista y modelo del negocio que exige lograr los objetivos de manera confiable, al mismo tiempo en que se aborda la incertidumbre (riesgo y retorno) y se actúa con integridad (respetando las obligaciones legales y los compromisos voluntarios). Esta visión le permite al desempeño considerar las amenazas y oportunidades, así como los requerimientos mandatorios que se derivan de marcos legales y compromisos voluntarios declarados en la misión, visión, valores, contratos y acuerdos laborales. El enfoque del desempeño basado en principios en la planeación o ejecución de todos los proyectos o tareas aplicados a todos los niveles de la organización, permite establecer un objetivo común y una cultura que soporta el éxito organizacional. Pensar en su organización bajo la misma perspectiva que un organismo viviente, implica considerar que puede estar saludable pero, de un momento a otro, puede comenzar a estar frágil o incluso enfermarse. Con el tratamiento adecuado, el organismo puede enfrentar las debilidades y recuperar su estado saludable, que bien puede ser marginalmente funcional, o fuerte, ágil y resistente. Igual pasa en la organización. Así, debe considerarse, entonces, en lo que es necesario para la vida de un organismo o para la organización. La vida en el organismo comienza con los aminoácidos – comúnmente conocidos como los ladrillos o bloques de construcción de la vida. Todos los genes requieren aminoácidos para funcionar. Neurotransmisores, hormonas y músculos son formados por los mismos aminoácidos y se desarrollan en partes del cuerpo, cada una con sus propios propósitos y capacidades. Todos estos sistemas tienen que operar en una forma integrada y alienada, comprometiéndose, simultáneamente, con la defensa para proteger al organismo de los daños y el crecimiento proactivo para orientar el éxito. 2

No es diferente para una organización de negocios. Para crecer y tener éxito hay muchas funciones (cada una con su propio personal, procesos, tecnologías e información) que tienen que operar juntas; desde actividades clave del negocio tales como investigación, desarrollo, producción, marketing, ventas, logística y servicios, hasta actividades de apoyo como gobierno, planeación estratégica, gestión del desempeño, gestión del riesgo, control interno, cumplimiento, legal, finanzas, recursos humanos y auditoría. Todas estas funciones y actividades tienen que usar muchos de los mismos datos y contribuir a la recolección y generación de otros datos, pero en diferentes vías, al igual que las funciones separadas de un organismo viviente que usan los mismos aminoácidos en diferentes combinaciones y aportan información para el organismo global. No obstante, la necesidad de coordinar y alinear el apoyo y soporte de estas funciones para el beneficio sostenido y el éxito de la organización, muchos las gestionan en departamentos y áreas dispares con poca o ninguna comunicación multifuncional. Peor aún, en algunos casos, ni siquiera las actividades e información común es gestionada, en absoluto, de manera que están literalmente por fuera de los proyectos de mejoramiento de los procesos de negocio en la organización. El estado saludable y vigoroso del ser que habilita el éxito, solo puede lograrse mediante el establecimiento de objetivos comunes, el alineamiento de la información y de funciones clave, y el apoyo que se logra con robusta comunicación, tecnología efectiva y cultura deseada. No es suficiente una orientación agresiva hacia el logro de los objetivos. Para tener éxito, se tienen que considerar los límites y restricciones de las normas, las costumbres sociales y las incertidumbres que surgen en relación con los riesgos y beneficios potenciales. Ni puede la gestión del desempeño, riesgo, cumplimiento y conducta ética estar separada de las actividades para el logro de objetivos, tampoco los músculos del organismo funcionan independientes de sus neurotransmisores o del sistema hormonal. Todo debe alinearse y operar mediante capacidades de gobierno, riesgo y cumplimiento integradas

Figura 1 – Vista de Integración del Desempeño Basado en Principios

Es común que se hable sobre el desempeño de los negocios y la necesidad de alcanzar los objetivos, pero resulta una conversación insuficiente. El logro exitoso del Desempeño Basado en Principios requiere capacidades coordinadas para manejar el desempeño frente a los objetivos, el riesgo derivado de las incertidumbres y el cumplimiento tanto de requerimientos obligatorios como voluntarios, cada una en consideración de otra. Estas capacidades tienen que incluir un plan integrado de gobierno, gestión y aseguramiento. Sólo entonces la organización tendrá un desempeño basado en principios.

El Concepto de GRC El acrónimo GRC es una referencia abreviada del conjunto de capacidades críticas que tienen que operar juntas para lograr el Desempeño Basado en Principios. GRC denota gobierno, gestión del riesgo, y cumplimiento, pero significa mucho más que estos términos simplemente reunidos en un acrónimo. Es importante recordar que las organizaciones han sido gobernadas, y el riesgo y el cumplimiento ha sido gestionado, por un largo tiempo - GRC no es nada nuevo. No obstante, muchas de estas organizaciones no han enfocado estas actividades con madurez, o estas actividades no se soportan entre sí para mejorar la probabilidad de lograr los objetivos organizacionales. Esto hace de GRC, tal como la entendemos hoy en día, un concepto totalmente revolucionario. En una organización con visión de futuro, GRC es visto como un conjunto bien coordinado e integrado de todas las capacidades necesarias para apoyar el Desempeño basado en Principios en todos los niveles de la organización. GRC no sobrecarga al negocio, lo apoya y lo mejora.

Beneficios de las Capacidades Integradas de GRC La integración de las capacidades no significa la creación de un mega-departamento de GRC y acabar con los enfoques descentralizados o programáticos para la gestión de riesgo y cumplimiento. Tampoco implica el uso de un solo sistema de tecnología de GRC. Más que eso, se trata de establecer un modelo que asegure que las personas pertinentes reciben la información correcta y apropiada de manera oportuna, que se establecen los objetivos adecuados, y que las acciones adecuadas y controles necesarios abordan la incertidumbre y se actúa con integridad. Cuando las actividades de negocios operan en silos frente a su propia información, que se mantiene separada, es altamente probable que se establezcan objetivos erróneos o contraproducentes, se seleccionen estrategias sub-óptimas y no se optimice el desempeño. La existencia de una vocabulario y taxonomías unificadas de información; el establecimiento de repositorios comunes para los datos, documentos e información; la creación de procedimientos y formatos para asuntos como políticas y entrenamiento; el aseguramiento de comunicación regular y consistente entre y con todos los roles relevantes incluyendo los tomadores de decisiones estratégicas – esto es en todos los aspectos de las capacidades eficaces de GRC integradas de GRC, cuando se establecen objetivos para la empresa global o para proyectos o departamentos específicos. Los beneficios de la integración de las capacidades de GRC y los impactos negativos de un enfoque por silos son dos caras de la misma moneda. En la encuesta de madurez de GRC llevada a cabo por OCEG en 2012 y 2015, una mayoría de los encuestados aportaron información sobre los resultados favorables que habían logrado a partir de intervenciones en GRC y el resto evidenció una clara muestra de las fallas de una estructura independiente o por silos. En particular, la diferencia entre estos dos grupos fue notable en los niveles de confianza que tenían o no, sobre el grado de conocimiento acerca de las amenazas que pueden afectar a la organización y su capacidad para gestionarlas de manera efectiva. Quienes tenían, al menos parcialmente integradas las capacidades de GRC, en comparación con quienes mantienen la gestión por silos, tienes tres veces más probabilidades de sentir confianza en lo que ellos pueden evaluar de su desempeño frente a los objetivos establecidos y lo que han seleccionado y están implementado adecuados controles de cumplimiento y de riesgo para proteger el 5

desempeño. Confían más en que están estableciendo las estrategias y objetivos adecuados y están mejor capacitados para crear y evaluar los reportes desempeño. Son simplemente más agiles, resilientes y competitivos. En adición a los hallazgos de la encuesta, se recibieron reportes de resultados tangibles: •

Mejor alineación de los objetivos del negocio con la misión, visión y valores de la entidad;

•

Mejora en la agilidad de la toma de decisiones y la confianza;

•

Sostenibilidad, desempeño confiable y aporte de valor.

•

Mejor asignación de capital a las iniciativas apropiadas en el momento oportuno;

•

Responsabilidad de todos los niveles de la organización respecto de los objetivos, riesgos, requerimientos clave e iniciativas relacionadas;

•

Ahorros significativos de costos por las capacidades integradas.

Estos resultados promueven los atributos críticos que una organización necesita para ser confiable y competitiva. La confiabilidad viene de hacer consciencia de lo que está pasando interna y externamente, de manera que las organizaciones pueden evaluar la información antes de tomar acciones y así, responder apropiadamente. Esto significa ser ágil; el movimiento no solo en forma rápida sino con la capacidad para cambiar de dirección cuando se requiera evitar amenazar o potenciar oportunidades. Esto le permite a la organización ser más fuerte, con más musculo y menos grasa, y de hecho, ser más resistente para recuperarse de alguna situación adversa. Cuando una organización, y todo su personal que toma decisiones, tienen apropiados grados de confiabilidad (porque usted puede tener confianza cuando no debería tenerla) y comprenden los criterios para la toma de decisiones, así como los objetivos de la organización, pueden tomar ventaja del riesgo de una forma que otros no podrían, sin ir más allá de los umbrales de riesgo y las tolerancias establecidas. Esta es una ventaja competitiva real. Por otro lado, en nuestra investigación se evidenció que cuanto más separadas se encuentran las operaciones de riesgo y cumplimiento, y más separadas de las operaciones del negocio, es menos probable que la información crítica de estas áreas en mención, se comparta para la toma de decisiones estratégicas, de una manera oportuna. El mayor riesgo de un enfoque fuertemente orientado en silos es que las decisiones erradas exponen a la organización a 6

enfrentar demasiados riesgos o fallar en la identificación y comprensión de oportunidades. Finalmente, hay otros riesgos que fueron identificados en nuestra investigación. Las operaciones de riesgo y cumplimiento separadas exigen gastar demasiados recursos tratando de conciliar la información dispar, generando brechas y superposiciones innecesarias en las actividades, sobrecargando el negocio por la falta de coordinación de tareas, tiempos y solicitudes de información, y lo que es peor, creando nuevos riesgos en sí mismos. En lugar de apoyar la capacidad de la organización para lograr los objetivos, la sobrecargan.

¿Quiénes están involucrados? ¿Es usted un miembro del Consejo de Directores o un Ejecutivo Senior, Oficial, o Líder de una unidad de negocios involucrado en el gobierno a nivel de la empresa, unidad de negocio o proyecto? ¿Es usted un operador de negocios con responsabilidades de gestión para el logro de los objetivos establecidos? ¿Es usted un Ejecutivo Senior, Gerente o miembro del “staff” en un departamento de cumplimiento, riesgo o auditoria o tiene alguna de estas responsabilidades dentro de una unidad de negocios? ¿Está usted comprometido en la planeación estratégica o en las actividades de continuidad de negocios? ¿Es usted responsable por el monitoreo del logro de los objetivos establecidos o de algunos factores que podrían amenazar el desempeño de los objetivos? ¿Es usted parte de un equipo de Recursos Humanos responsable de un personal en constante cambio o tiene usted responsabilidades para asumir con terceras partes relacionadas? ¿Usted selecciona, implementa o maneja tecnologías que soportan la gestión del desempeño, riesgo o cumplimiento o la auditoria? Si la respuesta es sí a cualquiera de estas preguntas, entonces, usted tiene un rol de GRC. La perspectiva de integración del Desempeño Basado en Principios (Figura 1) muestra el gobierno, la gestión y el aseguramiento del desempeño, riesgo y cumplimiento. Cada una de estas actividades abarca muchos roles individuales y conjuntos de responsabilidades. Por ejemplo, la gestión de cumplimiento puede ser separada entre un número de gerentes de las unidades de negocio y profesionales de cumplimiento dentro de una organización, y asignar a los individuos responsabilidades de cumplimiento dentro de las unidades tales como Tecnología de la Información, Medio Ambiente, Salud y Seguridad. Lo mismo ocurre de cara al desempeño, dado que requiere la colaboración entre los operadores de las unidades de negocio y los equipos de apoyo de Recursos Humanos, tecnología, adquisiciones y otros. La 7

gestión del riesgo debe estar incorporada en la profundidad de las operaciones de negocios, con el apoyo permanente de los profesionales de riesgo con herramientas analíticas y una visión en toda la organización Cuando las responsabilidades son distribuidas entre un número significativo de individuos, cada uno tiene que comprender y apreciar plenamente el impacto que tienen sus acciones y decisiones en otras partes de la organización, y cómo otras pueden afectarlos. Con demasiada frecuencia los que tienen un título de “jefes de algo u otros” comienzan a ser demasiados independientes en sus puntos de vista y negligentes para ver el marco general de la organización global y la parte que les corresponde. La necesidad de asegurar la colaboración y comunicación en estas críticas relaciones puede ser visto mediante unos pocos ejemplos de los roles claves de GRC.

El Rol de la Autoridad de Gobierno. La tarea central de cualquier autoridad de gobierno, bien sea el Consejo de Directores de una corporación o un comité de vigilancia sobre un proyecto particular, es proveer una supervisión distinta de la dirección y control que ejecutan quienes gestionan la entidad o la actividad a ser gobernada. Esta supervisión aporta los criterios para toma de decisiones y dirección que los gerentes y auditores usan en el desempeño de sus tareas. Incluye, también, la misión, visión y valores, así como el apetito de riesgo, las tolerancias y capacidades de riesgos, las normas éticas y una declaración de alto nivel de objetivos y metas. En algunos casos, la autoridad de gobierno desarrolla y direcciona la planeación estratégica y los enfoques y lineamientos de los planes. Los cambios en objetivos, criterios para la toma de decisiones y planes estratégicos tienen que ser oportunamente comunicados a los ejecutores de los negocios, gerentes de riesgos y cumplimiento y auditores, de manera que puedan asegurar la comunicación apropiada sobre requerimientos, amenazas y oportunidades derivadas. Los planes tienen, por su parte, que asegurar a los ejecutores de los negocios, Recursos Humanos, finanzas y otras unidades que los recursos adecuados son asignados y las acciones y controles relativas a los planes estratégicos están designadas.

El Rol del Ejecutivo y los Gerentes Financieros. El trabajo de un moderno Director Financiero (CFO) va más allá del rol tradicional de preservar los activos y gestionar las transacciones financieras. Hoy, el Director Financiero es un miembro significativo del equipo estratégico y contribuye a establecer la dirección de la organización, en parte mediante el aseguramiento de una apropiada distribución de los recursos financieros en todos los negocios. El Director Financiero tiene que ayudar a mejorar la ejecución por medio del establecimiento y explicación de criterios para la toma de decisiones relacionados con el manejo financiero de la organización. Más allá de la estrategia, el CFO "sostiene los cordones de la bolsa” y maneja el desempeño basado en principios a partir del establecimiento y el soporte efectivo de iniciativas para el mejoramiento de los negocios. El soporte del CFO es crítico para el éxito de GRC.

El Rol del Ejecutivo (CRO) y los Gerentes de Riesgos. Cuando el compromiso es la Gestión Integral de Riesgos (ERM) o los esfuerzos de control de riesgo por parte de las unidades de negocios, el ejecutivo de riesgos (CRO) y los gerentes de riesgos juegan un papel esencial en la orientación de la organización hacia el Desempeño Basado en Principios. Los equipos de riesgos, bajo la dirección del Ejecutivo de Riesgos y en las unidades de negocio tienen que considerar las amenazas y oportunidades presentadas en la organización y asegurar que esta información está considerada en los planes estratégicos que son desarrollados e implementados. La organización tiene que integrar los riesgos en la toma de decisiones a lo largo de la empresa. El control de las amenazas y la promoción de las oportunidades a la luz de las estrategias y objetivos establecidos es solo una parte de la ecuación. Es igualmente importante, asegurar que cualquier fluctuación que se derive de cambios en el contexto interno y externo se evalúe para determinar como tales cambios pueden impactar el logro de los objetivos. Esta situación debe ser comunicada a la autoridad de Gobierno y los responsables de la planeación estratégica. Es el caso no solo a nivel global de la empresa, sino también a nivel de las unidades de negocio, al respecto de cómo es el riesgo manejado proyecto por proyecto. Así las cosas, la evaluación del riesgo no es solo una actividad puntual, requiere monitoreo continuo del cambio y las modificaciones para asegurar el alineamiento constante entre los objetivos, las estrategias, los riesgos, retornos y controles.

El Rol del Ejecutivo y los Gerentes de Cumplimiento y Ética. Los ejecutivos de Ética y Cumplimiento (algunas veces una combinación de Director de Ética y Oficial de Cumplimiento o el Director de Ética y Cumplimiento – CECO- ) y los gerentes con responsabilidades de cumplimiento y ética tienen que estar preocupados no solo con el cumplimiento de los requerimientos legales de la organización sino también con la satisfacción de los códigos de conducta, políticas, procedimientos y valores internamente establecidos. Estas pueden estar definidas como límites voluntarios y obligatorios y el trabajo del este equipo es asegurar que la organización (o unidad o proyecto) permanece dentro de esos límites mientras se esfuerza por cumplir con los objetivos. Esto se logra mediante la aplicación de una mezcla de controles y acciones de gestión y, como en el caso de la gestión de riesgos, estas acciones y controles no solo soportan la estrategia sino también pueden afectarla. Es esencial, en consecuencia, que quienes tienen la responsabilidad del cumplimiento comprendan de los planes para el cambio estratégico desde el principio. Idealmente, deberían ser involucrados en las discusiones de planeación para asegurar la comunicación de la información que puede influir en las decisiones. En forma similar, tanto los oficiales de cumplimiento y ética como los oficiales de riesgo tienen que informar sobre requerimientos, la mejor manera de mantenerse dentro de los límites o advertir cuando se pueden afectar estos umbrales y como requerimientos del cumplimiento afecta los análisis de riesgos. La comunicación y el trabajo conjunto con los directivos de Recursos Humanos para establecer y orientar la toma de decisiones ética es también un factor relevante.

El Rol del Ejecutivo (CIO) y los Gerentes de Información. El Director Ejecutivo u Oficial de Información (CIO) tiene que establecer sistemas para asegurar que la organización recolecte y mantenga información correcta que se aporte a las personas y sistemas adecuados, de manera oportuna y en los formatos apropiados. Esto es un aspecto esencial de las capacidades integradas de GRC. La protección de la seguridad de la información de una organización y el aseguramiento de la disponibilidad de la información y los recursos tecnológicos necesarios son fundamentales para este Proyecto. El CIO y los gerentes de tecnología de la información tienen que involucrarse en el diseño del plan estratégico de tecnología de GRC que determinará la combinación adecuada de soluciones basadas en usuarios y las necesidades de las partes interesadas. En efecto, tienen que trabajar con los operadores de los negocios y los ejecutivos claves de GRC para 10

determinar que tecnologías se tienen en uso, evaluarlas para determinar que debe mantenerse, cambiarse o integrarse. Estas acciones habilitan un enfoque de arquitectura global para la tecnología de GRC.

El Rol del Ejecutivo y los Gerentes de Recursos Humanos. Los ejecutivos de Recursos Humanos y los equipos a cargo de la gestión de lo que se conoce como “capital humano” de la organización, ejecuta tareas tan esenciales para el Desempeño Basado en Principios como cualquiera de los otros ejemplos de roles que se han discutido. Gran parte de la cultura de una organización se encuentra en la forma en que la organización contrata, remunera, incentiva, reconoce, y disciplina a sus empleados - una tarea que es gestionada o supervisada por los administradores de recursos humanos. El establecimiento de un “cultura de hablar” es un enfoque proactivo clave para asegurar el Desempeño Basado en Principios. La promoción y el fomento de la misión, visión y valores de la organización, establecido por la autoridad de gobierno, a menudo se encuentran bajo la responsabilidad táctica del equipo de recursos humanos. Si las actividades están relacionadas con el establecimiento de las descripciones de trabajo claramente definidas, la formación de los valores y los criterios para la toma de decisiones, el fomento de un ambiente de control fuerte, el empoderamiento de la cultura o el cumplimiento de los numerosos requerimientos para el desempeño de las labores impuesto por la organización, es evidente que el equipo de recursos humanos es una parte integrada esencial de las capacidades de GRC efectivas.

El Rol del Ejecutivo y los Gerentes de Auditoría Interna. El Director Ejecutivo de la Auditoría (CAE) de hoy, tiene más responsabilidades que nunca. Proporcionar aseguramiento a la autoridad de gobierno, ya sea al Comité de Directores o un comité especial, requiere comprender no sólo los registros, transacciones y estados financieros de la organización, sino también la información de riesgos y cumplimiento que puedan afectar el resultado exitoso de los objetivos establecidos. En la medida en que el diseño de los sistemas y controles de riesgo y cumplimiento no son una actividad de aseguramiento, por cuanto no proporcionan las métricas y la información necesarias, la auditoría interna no puede ofrecer aseguramiento. Así, un moderno Director de 11

Auditoría considera necesario establecer las deficiencias, recomendar sobre las mejoras y apoyar el desarrollo de información medible y de reportes sobre los que la auditoría interna puede depender para asegurar dos aspectos críticos de la gestión del riesgo y del cumplimiento - la efectividad continua del diseño de estos esfuerzos (que son las acciones de gestión y los controles adecuados para manejar los requerimientos y los riesgos) y la efectividad operativa de lo que se ejecuta (¿las acciones y los controles están diseñados pero operan conforme se diseñaron?). El Director de Auditoría también tiene la posición especial de supervisar cómo la información y los esfuerzos de riesgo y cumplimiento podrían afectar el desempeño del negocio para alcanzar los objetivos establecidos, y advertir sobre cómo diversos cambios podrían afectar el resultado. El trabajo colaborativo con los gerentes de negocios y ejecutivos encargados de las responsabilidades de riesgo y cumplimiento es tan esencial que, algunas veces, el Director de Auditoría preside el comité de GRC de la entidad global para garantizar tal coordinación.

El Rol de los Gerentes y Operadores de las Unidades de Negocio. Los operadores de las Unidades de Negocio se conocen como “la primera línea de defensa” en la gestión del riesgo organizacional, en tanto tienen responsabilidades - día a día- para identificar y manejar los riesgos directamente cuando se originan en las operaciones de negocios. En el modelo de las Tres Líneas de Defensa, emitido por el Instituto de Auditores Internos (IIA), las unidades de negocio (Primera Línea de Defensa) están soportadas por la segunda línea de defensa (Funciones de cumplimiento y gestión de riesgos) quienes proveen el monitoreo de los controles en ejecución, y la tercera línea de defensa (auditores internos) quienes proveen el aseguramiento del gobierno, la gestión del riesgo, el cumplimiento o los controles. El mismo rol de la primera línea aplica en todos los aspectos de GRC, a partir de los gerentes de las unidades de negocio que toman las responsabilidades de aseguramiento del cumplimiento y el logro de los objetivos del desempeño. Igualmente, están soportados por los equipos bajo la Dirección de Cumplimiento (CECO), la Dirección de Recursos Humanos, la Dirección de Información (CIO), El Director de Asuntos Legales (CLO), y otros directivos que contribuyen a las capacidades de GRC y deben, en tal sentido, tener una comunicación efectiva en doble vía, frente a los objetivos y estrategias socializados a los gerentes de las unidades de negocio, y con el apoyo de la alta Dirección, frente al establecimiento de las acciones de gestión necesarias (tales como entrenamiento, 12

canales de denuncias, y encuestas), medidas (tales como indicadores clave de desempeĂąo, riesgo y cumplimiento), tecnologĂas y controles. En consecuencia, las unidades de negocios tienen que reportar los cambios en actividades (planeadas y ejecutados), en forma tal que se puedan advertir los ajustes y cambios apropiados sobre las estrategias y los planes para diferentes acciones y controles que deben soportar el desempeĂąo, riesgo, y cumplimiento.

¿Cuál es el Punto? Otra alternativa para analizar los beneficios del Desempeño Basado en Principios es a través del lente de los resultados universales de la capacidad de GRC de alto desempeño, que todas las organizaciones buscan lograr.

Diez Resultados Universales del Desempeño Basado en Principios 1. Lograr los objetivos del negocio. Asegurar que todas las partes de la organización trabajan de manera conjunta para el logro de los objetivos empresariales. 2. Asegurar la consciencia de riesgo en el establecimiento de objetivos y la planeación estratégica. Proveer información útil, confiable y oportuna sobre los riesgos, retornos y responsabilidades de las autoridades de gobierno, encargados de la planeación estratégica y gerentes de negocios a cargo de la ejecución a todos los niveles. 3. Mejorar la cultura organizacional. Inspirar y promover una cultura de alto desempeño, responsabilidad, integridad, confianza y comunicación. 4. Aumentar la confianza de las partes interesadas. Aumentar la seguridad y confianza de las partes interesadas de la entidad. 5. Preparar y proteger a la entidad. Preparar a la entidad para enfrentar riesgos y requerimientos y protegerla de consecuencias negativas de hechos adversos, incumplimientos y conductas antiéticas. 6. Evitar, detectar y reducir la adversidad y las debilidades. Establecer acciones y controles para prevenir resultados negativos, reducir impactos, detectar problemas potenciales y manejar problemas en la medida en que se presenten. 7. Motivar e inspirar las conductas deseadas. Aportar incentivos y retribuciones motivando la ocurrencia de conductas deseadas, en especial frente a circunstancias difíciles. 8. Permanecer en acción. Comprender la información necesaria para efectuar cambios rápidos en la dirección estratégica y táctica, evitando obstáculos y falencias que se presentan. 9. Mejorar la capacidad de respuesta y eficiencia. Establecer las capacidades que hacen a la organización, en su conjunto, más eficiente y ágil para responder, de manera que cuenta con una ventaja competitiva. 10. Optimizar los valores y beneficios económicos. Asignar los recursos humanos y financieros en forma que se maximice el retorno económico y el valor generado por la organización. 14

¿Cómo se logra? Para lograr el Desempeño Basado en Principios, una organización debe implementar y ejecutar un conjunto de capacidades integradas que soportan la cooperación, coordinación y colaboración de esfuerzos. Esto puede llevarse a cabo a nivel de la empresa global, o bien a un nivel más pequeño como puede ser para un departamento, región o proyecto en particular. En algunas organizaciones este el Desempeño Basado en Principios puede ser logrado a partir de las capacidades existentes mediante una mejor integración. En otras, se requiere desarrollar algunas o todas las capacidades. En todos los casos, la organización tiene que establecer un comité de alto nivel, no solo para potenciar el concepto de Desempeño Basado en Principios sino también para asignar los recursos necesarios para soportar las capacidades integradas de GRC. Sólo entonces, será posible la planeación, el diseño y la operación exitosa de las capacidades integradas. Se presenta a continuación un resumen corto de los pasos clave que se deben acometer: ●

Comprometer. Obtener un compromiso para las capacidades integradas que habiliten al Desempeño Basado en Principios desde todos los niveles relevantes de la autoridad de gobierno y de la dirección ejecutiva.

●

Planear. Usar el Modelo de Capacidad de GRC y los recursos asociados para guiar su planeación. Determinar otros marcos de referencia, estándares y guías de gobierno, riesgo y cumplimiento para su organización. Inventariar y analizar el estado actual de las capacidades de GRC y definir su estado futuro. Asignar los roles y responsabilidades de GRC a los individuos y comités. Definir los procesos de la capacidad de GRC y sincronizarlos con los procesos del negocio existentes. Establecer un enfoque de evaluación de la efectividad y eficiencia de las capacidades de GRC.

●

Hacer. Extender el plan, teniendo en cuenta las necesidades de comunicación y gestión del cambio con empleados y partes relacionadas.

●

Revisar. Evaluar el plan contra los objetivos y los indicadores de desempeño establecidos para determinar si el diseño y la operación son eficaces.

●

Actuar. Usar los resultados de la evaluación para afinar y mejorar las capacidades integradas.

¿A qué se parece? El Desempeño Basado en Principios no es un estado estático del ser; en un sentido práctico es tanto el viaje como su destino. Para lograr objetivos confiables, abordando la incertidumbre y actuando con integridad, un organismo viviente requiere de capacidades integradas tal como se describen en el Modelo de Capacidad de GRC, desarrollado en las páginas siguientes.

Anatomía del Modelo de Capacidad de GRC Una organización que se esfuerza por lograr el Desempeño Basado en Principios tendrá un variado número de capacidades integradas. El Modelo de Capacidad de GRC analiza y esboza estas capacidades. Se presentan a continuación definiciones y una vista general de términos claves en el Modelo de Capacidad de GRC.

Componentes Los componentes desarrollan un proceso iterativo de mejoramiento continuo para lograr el Desempeño Basado en Principios. Si bien tienen una secuencia implícita, los componentes operan de manera concurrente. L – COMPRENDER — Examinar y analizar el contexto, la cultura y las partes relacionadas para comprender lo que la organización necesita conocer para soportar las estrategias y los objetivos. A – ALINEAR — Alinear el desempeño, riesgo y cumplimiento de los objetivos, estrategias, criterios para la toma de decisiones, acciones y controles con el contexto, la cultura y los requerimientos de las partes interesadas. P – EJECUTAR — Abordar las amenazas, oportunidades y requerimientos para fomentar los eventos y las conductas deseables y prevenir las indeseables, mediante la aplicación de acciones y controles proactivos, detectivos y de respuesta. R – EXAMINAR — Conducir actividades para monitorear y mejorar la efectividad del diseño y la operación de todas las acciones y controles.

Figura 2 – Vista de Componentes del Modelo de Capacidad de GRC

Elementos Cada elemento se extiende al interior del Componente en el que se encuentra asignado, para describir los aspectos clave de las capacidades integradas de alto desempeño. Cada Elemento incluye un análisis de los controles y acciones de gestión y aborda consideraciones del diseño y la implementación. Los Elementos definen los aspectos centrales de las capacidades efectivas y pueden servir como un punto de arranque para la evaluación del estado actual del enfoque de una organización. Los Elementos pueden ser aplicados en todos los niveles de la organización para direccionar objetivos empresariales, capacidades departamentales o acciones o controles en áreas críticas. En adición, cada Elemento esta soportado por prácticas detalladas que se desarrollan en el Apéndice A, que pueden ser ajustadas y escaladas para el uso de cualquier organización o a un nivel global de entidad, de unidad o de proyecto.

Figura 3 â&#x20AC;&#x201C; Vista de Elementos del Modelo de Capacidad de GRC

Prácticas Las Prácticas desarrolladas en el Apéndice A describen acciones aplicables claves dentro de cada Elemento que, tomadas en conjunto, son características de una capacidad efectiva. Así, mientras una organización puede aplicar un proceso de 5 pasos y otra organización un proceso de 20 pasos para cumplir el mismo logro, las prácticas identificadas deben ser tomadas en cuenta en ambos casos. Con frecuencia, las normas externas no son específicas al respecto de las prácticas de negocios que debe aplicarse, y por el contrario, sólo articulan requerimientos generales que una organización tiene que ejecutar. Las Prácticas ayudan a una organización a manejar esos requerimientos, así como las normas internas de la organización de una forma definida, sistemática y documentada.

Acciones y Controles A lo largo del Red Book existen numerosas referencias a “acciones y controles”. Una entidad debe considerar diferentes tipos de acciones y controles, como los que se enuncian, para la definición de objetivos y metas, el establecimiento de estrategias de logro, la implementación de intervenciones para asegurar la gestión del desempeño, riesgo y cumplimiento, así como la provisión del aseguramiento. Hay tres tipos generales de acciones y controles y resulta esencial que las organizaciones apliquen una apropiada mezcla de estas. ➢

Las Acciones y Controles Proactivos incentivan, proactivamente, condiciones o eventos que son deseables y evitan los que no lo son.

➢

Las Acciones y Controles de Detección detectan la ocurrencia real o potencial de condiciones y eventos que son o no deseables.

➢

Las Acciones y Controles de Respuesta recompensan las condiciones o eventos que son deseables y corrigen los que no lo son.

Documentación Recomendada Las primeras versiones del Modelo de Capacidad de GRC incluían “Entregables” definidos y referenciados, que estaban organizados en categorías de documentos que deberían crearse y mantenerse mediante las capacidades integradas. Reconociendo que con el uso incrementado de las tecnologías de GRC, la información contenida en estos “Entregables” podría ahora ser manejada en bases de datos, que habilita la formulación de diferentes reportes y formatos, esta versión establece, en su lugar, “Documentación Sugerida” en el Apéndice B. Los ítems listados 19

y definidos deben ser considerados ejemplos de alternativas de documentaci贸n que puede ser organizada para diferentes usos, incluyendo la evaluaci贸n de las capacidades.

Materiales de Apoyo El Red Book de OCEG se complementa con una serie de documentos adicionales.

● Las herramientas de evaluación GRC (Burgundy Book) La herramienta de evaluación de GRC (Burgundy Book) provee un conjunto de documentos y procedimientos para la evaluación de la efectividad del diseño y la operación de las capacidades. Estos procedimientos pueden ser aplicados mediante una autoevaluación o una evaluación independiente para: ●

Reducir el costo de evaluaciones mediante la eliminación de los gastos de creación de procedimientos.

●

Incrementar el nivel global de madurez y calidad del GRC organizacional.

●

Proveer una evaluación comparada frente a los estándares independientes del Red Book.

● La guía de soluciones tecnológicas GRC (“GRC Technology Solutions Guide”) La Guía define categorías de soluciones para las capacidades de GRC y mapeos para los roles de usuarios claves y procesos/funciones empresariales típicas para apoyar a los dueños de los procesos de GRC y a los profesionales de Tecnología de Información a entender y habilitar mejor el soporte de la tecnología. ●

Fundamentos de GRC Los Fundamentos de GRC es una colección de cursos cortos online que ofrecen una mayor comprensión del significado del Desempeño Basado en Principios y los detalles de las capacidades de GRC de alto desempeño tal como se describe en cada Elemento del Modelo de Capacidad de GRC. Los interesados pueden también usar las series de preparación para el examen de Certificación de Profesional de GRC (GRCP) ofrecido por GRC Certify, una organización afiliada a OCEG.

●

Recursos Adicionales de Soporte o

Guías y Manuales de OCEG

Series Ilustradas de GRC de OCEG

Reportes de Encuestas de OCEG

Series de Videos de OCEG

Examen y Mantenimiento de la Certificación GRCP 21

Todos estos recursos y mรกs son gratuitos para miembros del All Access Pass de OCEG en www.oceg.org.

Red Book de OCEG Modelo de Capacidad de GRC VersiĂłn 3.0

Figura 3 â&#x20AC;&#x201C; Vista de Elementos del Modelo de Capacidad de GRC

L – COMPRENDER Examinar y analizar el contexto, la cultura y las partes relacionadas, para comprender lo que la organización necesita conocer y así, establecer y soportar objetivos y estrategias. El entendimiento del contexto externo e interno dentro del cual una organización opera, así como la cultura de la organización, es un primer paso crítico en la determinación de las estructuras, estrategias y objetivos organizacionales. Las organizaciones existen para lograr objetivos específicos, los cuales son, con frecuencia, inducidos por las oportunidades y necesidades identificadas en el contexto externo. El contexto interno y la cultura determinan, a su vez, cómo la organización identifica y selecciona lograr esos objetivos. El examen, entendimiento y comprensión del contexto es crítico para diseñar objetivos, estrategias y capacidades de resiliencia apropiados. Dado que el contexto evoluciona y cambia continuamente, las organizaciones tienen que asegurar un suficiente monitoreo sobre sus cambios relevantes, teniendo en cuenta que se puede influenciar el contexto, pero algunos de sus aspectos y factores, están por fuera de control de las organizaciones. Es esencial, en consecuencia, comprender el contexto y la cultura de la organización, así como las necesidades y los requerimientos de las diversas partes relacionadas, en orden a crear y mantener una capacidad de GRC apropiadamente adaptada a la organización. Ciertos aspectos del contexto pueden diferir dependiendo del alcance (entidad global – departamental, proyecto etc.), tamaño, clase y estilo de la organización. Sin embargo, es importante considerar en todos los casos: ● ● ● ● ●

Entender el contexto externo e interno y las oportunidades para el cambio. Considerar que los cambios del contexto pueden generar la necesidad de reconsiderar los objetivos, estrategias, evaluaciones de riesgos o acciones y controles definidos. Definir la cultura de gobierno, de riesgo, de personal y conducta ética de la organización. Entender las necesidades y requerimientos de las partes relacionadas. Definir y planear las relaciones con partes relacionadas.

L1 Contexto Externo Entender el contexto externo del negocio en el que la organización opera. ● Analizar el Contexto Externo del negocio – Analizar los factores que influyen en el contexto externo incluyendo factores de: ○ Industria ○ Mercado ○ Tecnología ○ Sociedad ○ Regulatorios y legales ○ Geopolíticos ○ Ambientales ○ Relaciones con terceras partes ○ Oportunidades y amenazas externas (como parte de las debilidades, oportunidades, fortalezas y amenazas) ● Analizar las necesidades de los agentes que influencian la opinión y las partes relacionadas - Identificar las partes interesadas externas clave y los agentes influenciadores de opinión para analizar y priorizar sus necesidades y requerimientos. ● Observar el Contexto Externo – Observar continuamente los cambios en el contexto externo que pueden tener un efecto directo, indirecto o acumulativo sobre los objetivos estratégicos. Consideraciones de Diseño & Implementación ● La organización tiene que ser lo suficientemente flexible para responder a los cambios del contexto externo. ● Las falencias para identificar y responder a cambios actuales, planeados y potenciales del contexto puede resultar en fallas de acciones y controles de la capacidad crítico, o fallas para abordar oportunidades. ● La capacidad será más efectiva si la organización identifica y evalúa, con anticipación, los cambios en el contexto que le permita planear e implementar acciones y controles oportunos. ● La asignación clara de rendición de cuentas para el monitoreo de cada aspecto del contexto le permite a la organización identificar y analizar los cambios con mayor efectividad. ● El desarrollo de múltiples canales y recursos incrementa la probabilidad de identificar los cambios del contexto sobre las áreas de mayor impacto, de manera oportuna. ● Dado que el contexto externo evoluciona y cambia continuamente, su entendimiento es crítico para el diseño apropiado de objetivos, estrategias y capacidades resilientes. ● Ciertos aspectos del contexto externo pueden y deben ser influenciados por la organización. ● La organización debe reconocer que hay agentes influenciadores externos, tales como los medios o grupos de comunidades que tienen la capacidad de orientar la opinión de las partes interesadas. . 25

â&#x2014;?

Las Capacidades deben ser diseĂąadas para responder a cambios significativos en el contexto externo.

L2 Contexto Interno Entender el contexto interno del negocio en el cual la organización opera. ● Analizar el Contexto Interno– Analizar los factores que influencian el contexto interno incluyendo: ○ Las fortalezas y debilidades internas (como parte del DOFA) ○ El plan estratégico existente ○ El plan operacional existente ○ Las estructuras organizacionales existentes ○ Los incentivos para el desempeño existentes (apropiados o perversos) ○ Los recursos y procesos claves (personas, financieros, procesos y tecnología) ○ La información existente y las brechas o conflictos de información. ● Observar el Contexto Interno – Observar los cambios del contexto interno que puedan tener un efecto directo, indirecto o acumulativo en los objetivos o estrategias, de manera continua. Consideraciones de Diseño & Implementación ● Dado que el contexto interno evoluciona y cambia, su entendimiento es crítico para el diseño apropiado de los objetivos, estrategias y capacidades resilientes. ● El análisis del contexto interno debe enfocarse en los aspectos clave que aportan valor a la organización. ● Las Capacidades tiene que ser operadas para que se alineen con el contexto interno y con las proyecciones para el contexto futuro que demanda el cambio. ● Algunos aspectos del contexto interno cambiarán a pesar de que la organización haga el mejor esfuerzo por mantenerlos. ● Las Capacidades deben ser diseñadas para responder a cambios significativos en el contexto interno. ● La organización debe adaptar el contexto interno que considere necesario para soportar los objetivos y estrategias establecidos.

L3 Cultura Entender la cultura existente, incluyendo cómo el liderazgo modela la cultura, el clima organizacional y la mentalidad de los individuos sobre el gobierno, el aseguramiento y la gestión del desempeño, riesgo y cumplimiento. ●

●

Analizar la Cultura de Gobierno – Analizar el enfoque de gobierno existente en la organización, incluyendo el grado de compromiso de la autoridad de gobierno, el tono de alto nivel requerido del liderazgo y un modelo de conducta basado en palabras y obras; así mismo, la forma en que las políticas son usadas para crear umbrales de gestión y cómo los límites son establecidos. Analizar la Cultura de la Gestión – Analizar el enfoque de gestión existente para manejar y habilitar al personal incluyendo estructuras de compensación y otros incentivos. Analizar la Cultura de Riesgo – Analizar el clima existente y la mentalidad de los individuos sobre la forma en que el personal percibe el riesgo, los impactos en su trabajo y en la organización; y cómo la gestión de riesgos se integra, de manera efectiva, con la toma de decisiones y la ejecución de los negocios. Analizar la Cultura Ética – Analizar el clima existente (elementos formales y observables en la organización) y la mentalidad de los individuos sobre el grado en el cual la dirección y el personal asimila que la organización orienta y soporta conductas responsables e integridad. Analizar el Compromiso del Personal – Analizar la cultura del personal existente incluyendo la satisfacción de los empleados, bonificaciones, niveles de rotación, desarrollo de destrezas y compromisos. Observar la Cultura – Observar los cambios que puedan tener efectos directos, indirectos o acumulativos en los objetivos y estrategias, de manera continua.

Consideraciones de Diseño & Implementación. ● La definición del estado actual y esperado de la cultura ética, de gobierno, de riesgo y de personal es esencial para el proceso. ● El liderazgo tiene que establecer el tono de alto nivel, basado en palabras y obras para proveer un compromiso sistemático y consistente a la integridad y las normas culturales establecidas por la organización. ● Algunos aspectos de la cultura pueden requerir un cambio para soportar los objetivos de la organización, y otros cambiarán a pesar de que la organización haga el mejor esfuerzo por mantenerlos. ● Existen, con frecuencia, múltiples “sub-cultura” en diferentes sitios geográficos y funcionales. ● El cambio cultural es, la mayoría de las veces, difícil y requiere permanente atención y liderazgo.

L4 Partes Interesadas Interactuar con las partes interesadas para entender expectativas, requerimientos y perspectivas que impactan a la organización. ●

●

Entender a las Partes Interesadas – Investigar y analizar las organizaciones e individuos clave involucrados en diferentes grupos de interés para entender sus inquietudes y preocupaciones, así como la mejor forma de relacionamiento con ellos. Analizar las necesidades de Partes Interesadas externas y Agentes influenciadores – Identificar las partes interesadas externas y los influenciadores de opinión clave, y analizar y priorizar sus necesidades y requerimientos. Desarrollar Planes de Relacionamiento con las Partes Interesadas – Desarrollar planes de relacionamiento con partes interesadas para cada grupo de interés.

Consideraciones de Diseño & Implementación ● Las Partes Interesadas clave de una organización incluye a los propietarios (accionistas), inversores, prestamistas, clientes, directores, empleados, agencias gubernamentales, proveedores, asociaciones, Organizaciones sin ánimo de lucro, la comunidad y el órgano de autoridad del gobierno. ● Las Partes Interesadas se auto-legitiman (aquellos quienes, a su juicio, se consideran partes interesadas son partes interesadas). ● No todas las Partes Interesadas tienen la misma influencia en la organización. ● Los requerimientos de las Partes Interesadas pueden ser influenciados o cambiados cuando ellos entienden las implicaciones para los negocios individuales, la industria, la economía, y la comunidad en general, de manera que la organización comprende las motivaciones de las Partes Interesadas (individuales y colectivas). ● Dado que hay individuos claves con el poder y/o la influencia dentro de cada grupo de interés, el desarrollo de líderes claves al interior de estos grupos puede ayudar a construir un ambiente de trasparencia y confianza. ● El involucramiento en el desarrollo de los requerimientos genera la oportunidad para evidenciar donde los enfoques alineados o integrados pueden reducir los umbrales de cumplimiento y generar información más confiable y útil. ● La comunicación anticipada y suficiente con las Partes Interesadas mantiene, con frecuencia, un ambiente de confianza y transparencia.

A – ALINEAR Alinear los objetivos del desempeño, riesgo y cumplimiento, las estrategias, los criterios para la toma de decisiones, las acciones y controles con el contexto, la cultura y requerimientos de las partes relacionadas. El desempeño basado en principios requiere alineamiento. Las decisiones sobre la forma en que se abordan las oportunidades, amenazas y requerimientos tienen que alinearse al contexto, la cultura organizacional y los criterios para la toma de decisiones. Las acciones de cumplimiento tienen que alinearse tanto a los requerimientos obligatorios como voluntarios. Los indicadores de desempeño, riesgo y cumplimiento (KPIs, KRIs and KCIs) tienen que alinearse al resultado establecido de los objetivos y criterios para toma de decisiones. La autoridad de gobierno de la organización provee direccionamiento a la gestión, de manera que las capacidades de GRC son diseñadas consistentemente con los criterios para la toma de decisiones. La determinación y definición de las tolerancias, apetito y capacidad de riesgo para ser aplicadas en cada proceso de evaluación, más que habilitar un enfoque unificado para las acciones y controles del desempeño, riesgo y cumplimiento, provee dirección a la gestión sobre la conducta apropiada. Las organizaciones tienen que considerar los factores, eventos y condiciones que pueden impactar el logro de objetivos a través de estrategias definidas. Así, tienen que evaluar los niveles de riesgo, retorno y conformidad inherentes y residuales (niveles que existen antes y después de aplicar acciones y controles). Esto es necesario para asegurar que las acciones y controles estén y se mantengan dentro de los umbrales definidos de capacidad, tolerancia y apetito de riesgo mientras se logran los niveles de desempeño y cumplimiento deseados. Ciertos aspectos del alineamiento pueden diferir del alcance (ej., entidad global, departamental, proyecto), tamaño, clase y estilo de la organización. Sin embargo, en todos los casos, es importante: ● ● ● ●

●

Proveer direccionamiento para la toma de decisiones a través de la misión, visión, valores y criterios (ej. capacidad, apetito y tolerancia de riesgo). Determinar estrategias para el logro de objetivos alineada con los criterios para la toma de decisiones. Identificar y monitorear las oportunidades, amenazas y requerimientos, y evaluar cómo impactan los objetivos de la organización. Habilitar planes mediante la asignación de los recursos y fondos necesarios, y remover procedimientos y otros obstáculos y desincentivos que dificultan la búsqueda de objetivos. Disponer de gobierno y dirección para la gestión basada en criterios aceptables para la toma de decisiones. 30

●

Establecer y comunicar los objetivos de desempeño, riesgo y cumplimiento que trascienden a lo largo de la organización.

A1 Dirección Proveer dirección mediante el establecimiento claro de una declaración de misión, visión y valores, objetivos de alto nivel, políticas de alto nivel, así como guías para la toma de decisiones. ●

●

● ● ●

Definir la Misión, Visión y Valores – Crear una declaración formal de lo que la organización hará, lo que busca y los valores centrales que la organización mantiene y aplica para sus decisiones, basado en el compromiso de la autoridad de gobierno y la alta gerencia. Analizar Oportunidades, Amenazas y Requerimientos – Ejecutar un análisis de alto nivel de oportunidades, amenazas y requerimientos identificados para aplicarlos en la definición de objetivos y estrategias de alto nivel. Definir Metas de Alto Nivel – Definir metas e indicadores relacionados de alto nivel que se puedan usar en el establecimiento de estrategias y objetivos detallados. Definir Umbrales de Gestión – Desarrollar instrucciones que limiten y guíen a la gerencia a establecer objetivos y estrategias detalladas de la gestión. Definir Criteros para la toma de decisiones – Definir criterios para seleccionar objetivos y estrategias, guías de prioridades, equilibrio de riesgo/retorno (e.g., apetito, tolerancia y capacidad de riesgo) y cumplimiento.

Consideraciones de Diseño & Implementación. ● La declaración de la misión, visión y valores desarticulada y ausente de liderazgo genera que la organización opere basada en creencias e intereses – ad hoc- de individuos o grupos. ● El liderazgo tiene que servir como un modelo de roles y no puede permitirse actuar en forma contraria a los valores establecidos sin asumir las consecuencias, porque será una referente de otras partes interesadas. ● La declaración de Valores puede variar para cada organización, pero siempre debe inducir la adherencia a los requerimientos legales y principios generales de integridad y conducta ética. ● La emisión de los valores de la organización, en forma clara y consistente, a todas las partes interesadas internas y externas determina expectativas y ayuda a establecer un nivel deseado de conducta. ● La autoridad de Gobierno debe supervisar los esfuerzos de la gerencia para definir y comunicar la misión, visión, valores y criterios para la toma de decisiones. ● Los criterios para la toma de decisiones documentados formalmente a nivel de la organización global, así como en niveles bajos, aporta guías de gestión que deben aplicarse cuando se implementen las estrategias, acciones y controles.

A2 Objetivos Definir un conjunto balanceado de objetivos medibles, consistentes con los criterios para la toma de decisiones y apropiado para el marco de referencia establecido. ●

●

Aplicar Criterios para la Toma de Decisiones – Los objetivos deben ser consistentes con los criterios para la toma de decisiones establecidos para niveles aceptables de riesgo, desempeño y cumplimiento, a la luz de la misión, visión y valores declarados y el marco de referencia. Desarrollar Criterios adicionales para la toma de decisiones – En algunas instancias, los criterios adicionales para la toma de decisiones serán requeridos para guiar las acciones para el logro de los objetivos. Considerar los efectos de acumulación o competencia de los Objetivos – Evaluar los objetivos holísticamente a nivel de la organización para considerar los impactos en otros objetivos, y determinar así, objetivos prioritarios cuando los criterios para la toma de decisiones demandan una reconsideración. Documentar Objetivos – Establecer y documentar los objetivos, de manera que puedan ser reconocidos y aplicados por todas las partes relevantes, incluyendo los gerentes internos responsables por el logro de objetivos y las partes interesadas internas y externas.

Consideraciones de Diseño & Implementación ● Los objetivos pueden ser diferentes y deben considerar áreas tales como: estrategia, financiera, clientes, operacional, aprendizaje y crecimiento, al igual que reportes. ● Los objetivos efectivos son establecidos aplicando el modelo SMART (en inglés): Específicos, Medibles, Alcanzables, Relevantes y Oportunos, de manera que su logro pueda ser establecido y los indicadores desarrollados. ● Objetivos escalados hacia niveles inferiores en la organización, incluyendo unidades, departamentos, equipos e individuos asegura que entre más detallado este el mapa de metas de nivel inferior, más objetivos de alto nivel pueden ser alcanzados. ● La asignación de rendición de cuentas sobre el logro de objetivos para cada uno de los niveles de la organización aporta una mayor probabilidad de logro.

A3 Identificación Identificar los factores que pueden causar efectos deseables (oportunidades) o indeseables (amenazas) sobre el logro de los objetivos, así como los factores que pueden obligar a la organización a operar de una forma particular (requerimiento). ● ●

●

Examinar la Capacidad – Identificar y evaluar la capacidad existente (personas, procesos y tecnología) y cómo afecta la habilidad para lograr los objetivos. Identificar Factores – Identificar los factores, eventos y condiciones externos e internos que pueden producir un requerimiento o causar un efecto deseable o indeseable en los objetivos, tomando en consideración la necesidad probable de examinar la dirección estratégica y de los objetivos. Identificar Oportunidades, Amenazas y Requerimientos – Identificar oportunidades, amenazas y requerimientos obligatorios y voluntarios que afecten la capacidad para lograr los objetivos. Identificar las tendencias e interrelaciones – Identificar cómo las oportunidades, amenazas y requerimientos se relacionan entre si y han mostrado una tendencia interna o externamente.

Consideraciones de Diseño & Implementación ● Las oportunidades son eventos y condiciones que, en balance neto, contribuyen al beneficio o retorno, el cual es una medida de los efectos deseables de la incertidumbre sobre los objetivos. ● Las amenazas son eventos y condiciones que, en balance neto, generan el riesgo o pérdida, el cual es una medida de los efectos indeseables de la incertidumbre sobre los objetivos. ● La categorización de las amenazas, oportunidades y requerimientos pueden ayudar a estructurar la identificación de los procesos y asegurar la uniformidad de respuestas y una perspectiva consolidada. ● Las oportunidades, amenazas y requerimientos tienden a ser multifacéticas y dinámicas, requiriendo técnicas de identificación sistemáticas y múltiples. ● Análisis escalonados de arriba a abajo y aportes de ejecutivos senior con alcance al análisis de actividades, así como información de abajo a arriba sobre las operaciones de negocios, aplicados en conjunto, aseguran que tales análisis reflejan la realidad operacional. ● La identificación tiene que ser un proceso sistemático, comoquiera que los factores, eventos y condiciones evolucionan y cambian continuamente. ● Dada la limitación de recursos, el proceso de identificación debe enfocarse en objetivos de negocio, procesos y recursos claves.

A4 Evaluación Analizar el enfoque actual y planeado para direccionar las oportunidades, amenazas y requerimientos aplicando los criterios para la toma de decisiones con métodos cuantitativos y cualitativos. ●

● ●

Analizar el Riesgo/Retorno – Medir y evaluar el efecto de las oportunidades y amenazas sin acciones y controles (inherentes) y después de la aplicación de acciones y controles (residuales). Analizar el Cumplimiento – Medir y evaluar el nivel de cumplimiento actual de los requerimientos y después de acciones y controles. Priorizar la Gestión de Amenazas, Oportunidades y Requerimientos – Priorizar y categorizar los efectos de oportunidades, amenazas y requerimientos para determinar el enfoque y la asignación de recursos.

Consideraciones de Diseño & Implementación ● Criterios para la toma de decisiones del Desempeño (v.g. ROI, márgenes, presupuesto, y cobertura de objetivos) son aplicados para determinar si el nivel actual de beneficio está en línea con los objetivos de desempeño. ● Criterios para la toma de decisiones de Riesgo (v.g. apetito, tolerancia y capacidad de riesgo) son aplicados para determinar si el nivel de riesgo residual es aceptable y si las metas establecidas de beneficio o retorno son adecuadas frente a los niveles de riesgo aceptable. ● Criterios para la toma de decisiones de Cumplimiento (v.g. cobertura, profundidad relativa a grados de riesgo, y cumplimiento de requerimientos obligatorios y voluntarios) son aplicados para determinar si el nivel de cumplimiento es suficiente. ● El análisis de los costos asociados a cómo las oportunidades, amenazas y requerimientos habilita a la gestión para asignar recursos basados en el enfoque planeado y actual y asegura que no están sobre o sub-gestionados. ● Las técnicas de análisis cuantitativo y cualitativo aportan información, que por sí solas no son suficientes y cada una puede cubrir brechas a otros niveles. ● Análisis escalonados de arriba a abajo y aportes de ejecutivos senior con alcance al análisis de actividades, así como información de abajo a arriba sobre las operaciones de negocios, aplicados en conjunto, aseguran que tales análisis reflejan la realidad operacional. ● La documentación de los análisis habilita el uso para otros propósitos, incluyendo las actividades de aseguramiento.

A5 Diseño Desarrollar planes estratégicos y tácticos para lograr los objetivos, abordando la incertidumbre y actuando con integridad, en consistencia con los criterios para la toma de decisiones. •

•

• • • •

Explorar opciones para manejar los Requerimientos – Cuando el nivel actual del cumplimiento es inaceptable, o cuando existen acciones y controles que no son óptimos, explorar acciones y controles adicionales para gestionar los requerimientos. Explorar opciones para manejar el Riesgo/Retorno – Cuando el riesgo residual actual y/o el desempeño es inaceptable, o cuando el enfoque actual puede ser mejorado, explorar acciones y controles alternativos para gestionar el riesgo/retorno. Diseñar Estrategias de Financiamiento y Transferencia del Riesgo – Diseñar un portafolio de instrumentos de financiamiento y transferencia del riesgo y enfoques consistentes con los criterios para la toma de decisiones de riesgo en la organización (apetito, tolerancia y capacidad del riesgo). Determinar el Riesgo/Retorno y Cumplimiento residual– Evaluar el nivel previsto de riesgo/retorno y cumplimiento residual, después de que las acciones y controles planeados estén operando efectivamente, para revisar alternativas y seleccionar soluciones óptimas. Abordar los Riesgos Inherentemente Altos – Identificar las acciones y controles actuales y planeados que específicamente abordan riesgos inherentemente altos que, si dejaran de operar efectivamente, expondrían a la organización a un nivel de riesgo inaceptable, Desarrollar Indicadores Clave – Desarrollar indicadores clave informen a la gestión sobre la efectividad de las acciones y controles incluyendo los niveles de riesgo, retorno y cumplimiento. Desarrollar la Estructura de Gestión de la Información – Gestionar la información para que sea segura, relevante, confiable y esté disponible cuando se requiera. Establecer una Arquitectura de Tecnología – Evaluar e integrar el uso de tecnologías que soporten las capacidades de GRC. Desarrollar un Plan Integrado – Desarrollar un plan y adquirir recursos para gobernar, asegurar y gestionar el enfoque para direccionar el riesgo/retorno y el cumplimiento. Habilitar la Ejecución – Asegurar el soporte y los recursos requeridos, incluyendo la gestión del cambio, son básicos para lograr los objetivos establecidos y adelantar la dirección de los planes.

Consideraciones de Diseño & Implementación • •

Proveer autorización y fondos para el plan integrado permite asegurar tanto los procesos como los recursos que pueden ser aplicados efectivamente. Un enfoque por capas de acciones y controles puede implicar un mejor uso de los recursos y una más efectiva optimización del riesgo. 36

•

La integración de la gestión del retorno, riesgo y cumplimiento, incorporada dentro de los procesos claves del negocio existentes, fomenta su apropiación a lo largo de toda la organización. La selección de tecnologías con anterioridad a la evaluación de las necesidades integrales, al establecimiento de procesos de GRC y a la toma de inventarios de los enfoques actuales casi nunca tiene éxito. La planeación de la gestión del cambio es esencial para resultados exitosos.

P – EJECUTAR Direccionar amenazas, oportunidades y requerimientos mediante el estímulo de eventos y conductas deseables y la prevención de conductas indeseables, mediante la aplicación de acciones y controles de respuesta, detectivos y proactivos. Para lograr el desempeño basado en principios, una organización tiene que emplear acciones y controles para asegurar que se está abordando la incertidumbre y actuando con integridad mientras se persiguen sus objetivos. La conducta y los eventos que soportan los objetivos tiene que ser promocionada proactivamente para tratar de prevenir cualquier situación que amenace el logro de los mismos. Por su parte, debe tener la capacidad para detectar el progreso continuo hacia los objetivos y determinar, así, si las conductas, condiciones y eventos deseables han ocurrido o parece probable que ocurran. Finalmente, la organización tiene que responder adecuadamente a los eventos, condiciones y conducta deseados. La respuesta incluye disciplina, empoderamiento de conductas positivas, al igual que análisis y recomendaciones de cambios sobre debilidades identificadas en la efectividad del diseño u operación de las acciones y controles. Las acciones y controles son generalmente categorizadas por tipos de procesos, capital humano, tecnología y físicos. Cómo cada organización mezcla y estratifica los diferentes tipos de acciones y controles proactivos, detectivos y de respuesta dependerá de las oportunidades, amenazas y requerimientos identificados y de cómo cada rango en importancia para la organización está basado en diferentes evaluaciones y consideraciones. Hoy, muchas organizaciones tienen tecnología con la capacidad de recolectar, ordenar y analizar datos como nunca antes. Esta capacidad puede soportar los esfuerzos para detectar, prevenir y aún predecir eventos y comportamientos que pueden ser direccionados mediante diferentes acciones y controles. Diferentes acciones y controles clave se aplican, prácticamente, en todas las organizaciones y están generalmente soportadas por diferentes tipos de tecnología, como son: ●

●

Acciones y Controles Proactivos ○ Políticas ○ Comunicación ○ Educación ○ Incentivos Acciones y Controles Detectivos ○ Notificación ○ Indagación Acciones y Controles de Respuesta 38

P1 Controles Establecer una mezcla de acciones y controles de gestión, procesos, capital humano, tecnología y físicos que sirvan a las necesidades de gobierno, gestión y aseguramiento. . ● ●

●

Establecer Acciones y Controles Proactivos – Promover las condiciones y eventos deseables y prevenir las indeseables. Establecer Acciones y Controles Detectivos – Determinar la orientación hacia los objetivos e identificar la ocurrencia actual o potencial de conductas, condiciones o eventos deseables o indeseables. Establecer Acciones y Controles de Respuesta – Recuperar la situación de conductas, eventos y condiciones indeseables; corregir las debilidades identificadas; ejecutar las acciones disciplinarias necesarias; reconocer y restablecer las conductas deseables y diferir las condiciones o conductas indeseables.

Consideraciones de Diseño & Implementación ● Las acciones y controles deben direccionar niveles deseables de retorno, riesgo y cumplimiento. ● Las acciones y controles pueden servir a más de un propósito. ● Las acciones y controles no deben ni sub-controlar ni sobre-controlar. ● Un rango por niveles o capas de acciones y controles, sin superposiciones innecesarias considera que un simple punto de falla no existe para las áreas de alto riesgo. ● Loa exámenes de campo de acciones y control permiten identificar debilidades, intervenciones de manipulación o elusión, y áreas de mejoramiento. ● La definición de tableros de control, alertas y reportes en un nivel de detalle adecuado asegura que los individuos que desempeñan las acciones y controles detectivos tengan suficiente información relevante. ● Una amplia red de recursos de información para identificar eventos y condiciones potenciales de origen adverso, aporta una mayor supervisión y detección anticipada. ● La identificación de causas origen y sus interrelaciones pueden aportar acciones y controles necesarios, reducir los riesgos de incumplimientos o malas conductas futuras. ● El refuerzo de las conductas deseadas fomenta que las partes interesadas se comprometan con tales conductas y reporten a las instancias donde se advierten o sospechan conductas indeseables. ● La corrección de efectos adversos inmediatos, así como las causas de origen, reduce la probabilidad de eventos y condiciones adversos en el futuro. . ● Cuando se resuelve un problema y se evalúan cambios potenciales en acciones y controles se debe considerar la probabilidad, el impacto, la oportunidad, la duración, la frecuencia y velocidad de eventos futuros similares. ● La documentación de cambios a acciones y controles y decisiones sobre disciplina aporta una senda de auditoria y registros de recursos humanos que pueden ser usados para demostrar la consideración, resolución y consistencia de acción.

P2 Políticas Implementar políticas y procedimientos asociados para abordar las oportunidades, amenazas y requerimientos y establecer claras expectativas de conducta para la autoridad de gobierno, la gestión, el personal y la empresa extendida. ●

● ● ●

●

Desarrollar Códigos de Conducta – Trabajar con las partes interesadas apropiadas para desarrollar códigos de conducta que direccionen la misión, la visión, los valores, las políticas clave y las conductas de negocios esperados. Establecer una Estructura de Políticas – Establecer una estructura organizativa para la identificación, creación, aprobación, aplicación y actualización de las políticas. Identificar y Desarrollar Políticas – Usar una mezcla de políticas preventivas y directivas para abordar las oportunidades, amenazas y requerimientos. Implementar and gestionar las Políticas – Implementar, comunicar, manejar, aplicar y auditar las políticas para asegurar que operan y se mantienen en condiciones de relevancia. Liderazgo de las Políticas – Demostrar un soporte genuino sobre las políticas y estándares para garantizar que las partes interesadas entiendan que hay un compromiso de liderazgo con las políticas. Desarrollar e Implementar Guías para la Toma de Decisiones Éticas – Establecer y liderar guías para la toma de decisiones sobre cómo seleccionar un curso de acción cuando las circunstancias no están explícitamente cubiertas por los códigos de conducta, las políticas o los procedimientos.

Consideraciones de Diseño & Implementación ● Las políticas deben prohibir ciertas conductas así como promover comportamientos deseados, sin mantener condiciones de sub-control o sobre-control. ● La evidencia demuestra que las políticas documentadas son comunicadas y aplicadas. ● El examen periódico y la auditoría de las políticas proveen evaluaciones de diseño y cumplimiento apropiado frente a los requerimientos aplicables. ● La aplicación de procesos para el desarrollo de las políticas forma líderes y asegura el compromiso que pueden ayudar a consolidar su aceptación. ● La organización debe identificar las necesidades de cumplimiento de políticas en la empresa extendida. ● Las políticas son más efectivas cuando son adaptadas a la audiencia, la cultura local, el lenguaje, las normas, los requerimientos legales y las necesidades, manteniendo el enfoque de los criterios clave para la toma de decisiones. ● Las Guías de Decisiones Éticas ayudan a las personas a decidir qué hacer en ausencia de políticas o procedimientos explícitos. ● El liderazgo tiene que evidenciar el compromiso del personal con los actos y las políticas. A pesar de que las políticas y estándares son clara y efectivamente comunicadas, las partes interesadas perseguirán lo que ellos consideran importante para liderar que no siempre es lo que está emitido y publicado. 40

P3 Comunicación Aportar y recibir información relevante, confiable y oportuna de y para las audiencias apropiadas, tal como es requerido por las normas y mandatos, o como se necesita para desarrollar responsabilidades y formar actitudes. ●

●

Desarrollar un Plan de Reporte – Establecer un plan para proveer reportes deseados para la dirección, la autoridad de gobierno y las partes interesadas, abordando el aseguramiento del cumplimiento frente a los requerimientos de reporte obligatorio. Arquitectura de Procesos – Asegurar que los dueños de acciones o controles en procesos iguales o relacionados aporten y reciban la comunicación necesaria para ejecutar sus responsabilidades y tomar acciones consistentes con los criterios para la toma de decisiones. Desarrollar un Plan de Comunicación– Definir cómo la organización manejara las comunicaciones que no se relacionan con reportes formales.

Consideraciones de Diseño & Implementación ● ● ● ● ●

●

La comunicación efectiva a lo largo de toda la organización habilita la toma de decisiones y mejora el desempeño. La organización debe ser capaz de aportar información consistente a quienes la necesitan, cuando la necesitan. La organización tiene que ser capaz de satisfacer sus compromisos de reportes obligatorios y proveer información comprensible y confiable a las partes interesadas. No toda la comunicación se lleva a cabo mediante métodos formales, de manera que la comunicación informal debe ser considerada por cuanto pueden tener más impacto. Políticas, procedimientos e inductores claros para los reportes de información rutinarios o de inmediato escalamiento, ayudan a asegurar la comunicación oportuna y adecuada. El mantenimiento de registros adecuados e íntegros acerca de cómo la comunicación es manejada provee a la organización evidencia para aplicar en el aseguramiento y en los esfuerzos de cumplimiento de requerimientos obligatorios.

P4 Educación Educar la autoridad de gobierno, la gerencia, el personal y la empresa extendida sobre las conductas esperadas y el incremento de las destrezas y la motivación necesaria para ayudar a la organización a direccionar las oportunidades, amenazas y requerimientos. ●

●

Definir un Plan de Educación y Conocimiento – Desarrollar un plan para educar la autoridad de gobierno, la gerencia, el personal y la empresa extendida acerca de sus responsabilidades y conductas esperadas. Definir un Plan de Currículo – Desarrollar un currículo específico de trabajo y un programa de entrenamiento apropiado para la autoridad de gobierno, la gerencia, el personal y la empresa extendida para el cabal cumplimiento de sus responsabilidades. Desarrollar o adquirir los Contenidos – Desarrollar o adquirir los contenidos que no existen en el plan de educación o currículo actual y modificar los contenidos que necesitan actualización de acuerdo con los objetivos de aprendizaje. Implementar los programas de Educación – Implementar y manejar los programas de educación para asegurar que cada meta de la audiencia logre los objetivos de aprendizaje y puedan transferir el conocimiento y las destrezas a sus trabajos. Proveer Canales de Ayuda – Establecer canales para que el personal y otras partes interesadas busquen guías sobre acciones, conductas y preguntas generales, incluyendo la opción de anonimato en sitios y circunstancias en donde es requerido o permitido. Proveer Soporte Integrado – Establecer canales para que el personal obtenga un soporte integrado en su ambiente usual de trabajo.

Consideraciones de Diseño & Implementación ● Conocimiento, educación y soporte continuo habilita a los individuos para: ○ Conocer lo que se espera, ○ Reducir la probabilidad de errores y comportamientos criminales, y ○ Tener confianza sobre los reportes de debilidades y malas conductas. ● Un fuerte programa de educación requiere mensajes consistentes y sistemáticos. ● La educación debe estar diseñada para aportar mayor efectividad por medio de profesionales cualificados. ● El rigor de la estructura de educación o de los mensajes debe alinearse con la relevancia de los objetivos fundamentales. ● La educación y otra información de soporte es más efectiva cuando es aportada en forma oportuna. ● La evidencia de integralidad y una evaluación de la comprensión del currículo, provee el aseguramiento del conocimiento obtenido.

P5 Incentivos Implementar incentivos que motivan las conductas deseadas y reconocer a quienes contribuyen con los resultados positivos, para reforzar las conductas deseadas. ●

●

Definir las Conductas Deseadas – Determinar los tipos de conductas deseadas incluyendo definiciones, clasificaciones y procedimientos necesarios para identificar quienes contribuyen con resultados positivos y quienes notifican desviaciones o indicativos de conductas indeseables. Contratación y Promoción basada en Conductas Esperadas – Articular las conductas deseadas con los trabajos definidos, los programas de carrera y los criterios de examen del desempeño de empleados y asociados de negocios, aplicando el mismo criterio para la promoción de los individuos. Desarrollar e implementar Programas de Retribución, Bonificación y Compensación – Establecer programas de retribución, bonificación y compensación para todos los empleados, asociados de negocios y otras partes interesadas que reconozcan la presencia de conductas deseadas y no oriente a las conductas indeseables de todos los individuos y las unidades organizacionales.

Consideraciones de Diseño & Implementación ● La aplicación de un rango general de incentivos incluyendo la forma en que los empleados son contratados, compensados, reconocidos, educados y promovidos es efectiva. ● Los incentivos deben balancear la promoción de las conductas deseadas y la prevención de conductas indeseadas. ● Los incentivos relacionados con el desempeño pueden fomentar conductas indeseables cuando no se manejan con prudencia y cuidado. ● Las inconsistencias en la aplicación y aporte de los incentivos conduce a la desconfianza de los empleados. ● El diseño simple y trasparente de programas de compensación, retribución y reconocimiento consistentes con los objetivos, misión, visión y valores refuerza su importancia y fomenta las conductas deseadas de las partes interesadas. ● La consideración de acciones obligatorias y requerimientos de cumplimiento regulatorio cuando se diseñan los programas puede estimular a los empleados a notificar a las organizaciones en lugar de recurrir directamente a los reguladores. ● Cuando los criterios de contratación inicial reflejan los valores de la organización es más probable que los empleados adviertan que la organización está comprometida con tales valores y las expectativas de las conductas deseadas. ● Las diferentes partes interesadas prefieren diferentes métodos de reconocimiento, de manera que el desarrollo de un programa amplio de reconocimiento debe considerar incentivos económicos, símbolos de prestigio, estatus, libertad de trabajos y oportunidades de progreso para incrementar la probabilidad de beneficios significativos para cada parte interesada. 43

â&#x2014;?

El reconocimiento debe ocurrir, en lo posible, cuando se advierta la conducta deseada, en forma tal que se refuerce el comportamiento esperado.

P6 Notificación Proveer múltiples canales para reportar el progreso hacia los objetivos propuestos y la ocurrencia actual o potencial de condiciones, eventos y conductas deseadas e indeseables. ●

● ●

Capturar las Notificaciones – Implementar un sistema de notificación que capture y alerte a la organización sobre debilidades de acciones y controles, variaciones de desempeño, incidentes o sospechas de incumplimientos, violaciones de políticas y problemas o percepciones sobre conductas no éticas. Filtrar y Enrutar las Notificaciones – Priorizar, substanciar y enrutar el manejo de las notificaciones, de acuerdo con el canal a través del cual ha sido recibida. Adherir a los Requerimientos de Protección de Datos – Asegurar que los canales de notificación cumplen con los requerimientos específicos establecidos en los lugares en donde se origina la notificación y la organización opera.

Consideraciones de Diseño & Implementación ● La estimulación a las partes interesadas para reportar los problemas directamente a la organización, en lugar de usar canales externos, permite mayor flexibilidad para corregir las debilidades de acciones y controles. ● El diseño de la capacidad debe considerar la forma en que las partes interesadas puedan confiar, sin miedo a represalias y que sus problemas son tomados en serio, prontamente y objetivamente evaluados, en un contexto de anonimato cuando sea legalmente permitido o requerido. ● El establecimiento de canales de notificación fáciles de usar y coherentes con las costumbres locales, la cultura y los requerimientos de protección de datos, fomenta su uso por parte de los grupos de interés. ● La captura de notificaciones por medio de métodos informales y canales no estructurados protege a la organización de respuestas de gestión inconsistentes y aporta una mayor supervisión sobre las debilidades de acciones y controles, incumplimientos y malas conductas. ● El entrenamiento al personal de supervisión y gestión sobre la forma cómo maneja y registra las notificaciones informales reduce la incertidumbre y la inconsistencia en las respuestas de la gestión. ● La definición de vías de escalamiento por medio de los canales de notificación aporta consistencia en las respuestas de la gestión. ● Las organizaciones, con frecuencia, usan recursos de tecnología como son los canales para proveer notificaciones. ● Las notificaciones de tecnología, a menudo, alertan a la organización sobre eventos, condiciones y conductas deseables o indeseables, mucho más rápido que otros métodos o cuando los métodos son manuales porque son vulnerables a las fallas o retrasos.

P7 Indagación Analizar datos periódicamente y buscar recursos que fomenten la orientación hacia los objetivos y adviertan sobre la existencia de conductas, condiciones y eventos indeseables. ●

●

Establecer Múltiples canales para obtener información – Definir oportunidades para obtener los puntos de vista de las partes relacionadas sobre debilidades de controles y acciones, desviaciones del desempeño, incidentes o sospechas de incumplimientos legales, violaciones de las políticas y preocupaciones o percepciones sobre conductas no éticas. Establecer un enfoque integrado a lo largo de la organización para las Encuestas – Establecer un enfoque para las encuestas a lo largo de toda la organización que reduzca el umbral sobre temas de encuesta y aporte una perspectiva consolidada de información obtenida de las partes interesadas. Establecer un enfoque integrado para la Auto-Evaluación – Establecer un enfoque de auto-evaluación que integre la evaluación de responsabilidades y resultados de desempeño, riesgo y cumplimiento con otras evaluaciones impuestas por la dirección. Reunir Información a través de Observaciones y Conversaciones – Establecer métodos informales de agregación de información sobre puntos de vista de partes interesadas mediante observaciones, reuniones de grupo, grupos focales y conversaciones con los individuos. Reportar Información y Hallazgos – Proveer información y hallazgos de todos los métodos de indagación a las partes y grupos de interés.

Consideraciones de Diseño & Implementación ● La consideración de los puntos de vista de diferentes grupos de interés y la aplicación de acciones correctivas adecuadas, hace sentir a las partes interesadas que sus preocupaciones y opiniones son valorados, estimulando así, la retroalimentación futura. ● La evasión de cualquier interacción real o percibida entre las respuestas a indagaciones y la evaluación del desempeño es crítica para el mantenimiento de la integridad de los procesos de indagación y el estímulo de una retroalimentación honesta. ● La coordinación de esfuerzos a través de la organización ayuda a evitar la fatiga institucional por autoevaluaciones y encuestas reiterativas. ● La consolidación, comparación y reconciliación de información obtenida de diversos métodos y grupos de interés es esencial para el desarrollo de una perspectiva holística. ● El uso de información obtenida vía indagaciones contribuye en el mejoramiento de acciones y controles, reduciendo las instancias que puedan requerirse por eventos, condiciones y conductas indeseables. ● Las organizaciones, con frecuencia, usan recursos de tecnología como son los canales para proveer indagaciones. ● Las indagaciones de tecnología, a menudo, alertan a la organización sobre eventos, condiciones y conductas deseables o indeseables, mucho más rápido que otros 46

mĂŠtodos o cuando los mĂŠtodos son manuales porque son vulnerables a las fallas o retrasos.

P8 Responder Diseñar y, cuando sea necesario, ejecutar actividades de respuesta a acciones y eventos indeseables identificados o sospechosos, así como sobre debilidades en las capacidades. ●

● ● ●

●

Establecer Procesos de Investigación – Desarrollar procesos de investigación interna para direccionar las denuncias o indicaciones de conductas indeseables y mantener un proceso de atención a las demandas e investigaciones externas. Preparar el manejo de Situaciones de Crisis – Desarrollar planes para responder a diferentes tipos de crisis y recuperar la continuidad del negocio. Adelantar los Procesos de Resolución – Resolver cada problema y documentar los resultados. Mejorar las Capacidades – Asegurar que la información fluye sin problemas dentro de los procesos para la identificación, corrección de acciones y control de debilidades, aplicando los cambios necesarios. Disciplinar y Re-entrenar – Aplicar acciones disciplinarias, de manera consistente, frente a las faltas de los individuos y proveer el re-entrenamiento que se considere necesario.

Consideraciones de Diseño & Implementación ● El establecimiento de un enfoque por niveles para responder a diferentes grados de impactos potenciales en la organización ayuda a: ○ Capturar y validar incidentes, ○ Escalar incidentes para la investigación e identificación interna o externa. ○ Asegurar la confidencialidad apropiada de la información y determinar los tipos de privilegio. ○ Asegurar la protección adecuada del anonimato y no retaliación para los informantes. ○ Preservar registros y otras evidencias, y ○ Asegurar que el reporte a las partes interesadas aplicables (incluyendo la autoridad de gobierno) se hace en forma oportuna y consistente. ● El aseguramiento de que cada problema/incidente se resuelve, es esencial para mantener la confianza de los empleados y otras partes interesadas en la efectividad del sistema. ● Las respuestas deben abordar los problemas inmediatos y las causas subyacentes identificadas, incluyendo los cambios a las acciones y controles, de ser necesario. ● Las medidas disciplinarias que son aplicadas consistente y objetivamente sirven como elementos de disuasión. ● La generación oportuna de notificaciones sobre resoluciones de problemas a las partes interesadas relevantes satisface requerimientos y aporta confianza en el proceso.

●

● ●

La ejecución de cambios en las acciones y controles, procesos o recursos que generan o permiten la las incidencias o problemas reducen la probabilidad de futuros incumplimientos o malas conductas. La consideración de protección de los individuos de daños físicos debe ser de alta prioridad. Los planes integrados de continuidad y respuesta a las crisis son más efectivos cuando equipos de personas se involucran en el plan de desarrollo, examen y respuesta (v.g. negocios, IT, gestión de emergencias, asuntos públicos, comunicaciones y personal de continuidad).

R – EXAMINAR Conducir actividades para monitorear y mejorar la efectividad del diseño y la operación de todas las acciones y controles, incluyendo su continuo alineamiento con los objetivos y estrategias. Para lograr el Desempeño Basado en Principios, una organización tiene que monitorear, medir, mejorar y proveer aseguramiento sobre las acciones y controles para garantizar que son aplicados y están funcionando, en forma adecuada, para lograr los objetivos. Los cambios en el contexto externo e interno pueden modificar los niveles inherente y residual del riesgo, retorno y cumplimiento, haciendo las acciones y controles actuales inefectivos. Cuando la efectividad operacional es limitada o los cambios del contexto son relevantes, la organización tiene que redefinir acciones adecuadas y controles consistentes con los criterios de toma de decisiones para el logro de los objetivos. De hecho, puede también necesitar reconsiderar sus objetivos y estrategias. Como cada organización mezcla y estratifica los diferentes tipos de monitoreo de las acciones y controles, las actividades de examen crítico dependerán de las oportunidades, amenazas y requerimientos identificados y cómo cada rango en importancia para la organización está basada en diferentes evaluaciones y consideraciones. Varias acciones y controles de monitoreo clave se aplican, prácticamente, en todas las organizaciones. Esto incluye: ● ●

● ●

Monitoreo del desempeño de todas las acciones y controles definidos. Aporte de aseguramiento para las autoridades de gobierno sobre la efectividad del diseño y la operación de las acciones y controles y su contribución para el logro de los objetivos. Generación de circuitos de retroalimentación y evaluación de lecciones aprendidas. Mejoramiento de la efectividad del diseño y operación de las acciones y controles definidos cuando sea necesario.

R1 Monitoreo Monitorear y evaluar periódicamente el desempeño de la capacidad para asegurar que si diseño y operación es efectivo, eficiente y responde al cambio. ●

●

● ●

Monitorear y Evaluar el Diseño de la Capacidad – Establecer una agenda para la reevaluación periódica del diseño de la capacidad a la luz de los objetivos, oportunidades, requerimientos y cambios del contexto. Identificar la Información del Monitoreo – Identificar la información que se usará para soportar la evaluación del desempeño; de las actividades de optimización del riesgo y sobretodo del desempeño de la capacidad. Desarrollar las Actividades de Monitoreo – Desarrollar actividades de monitoreo para soportar la evaluación del desempeño de la capacidad. Analizar y Reportar los resultados del Monitoreo – Analizar los resultados de las actividades de monitoreo para identificar debilidades y oportunidades para el mejoramiento sistémico.

Consideraciones de Diseño & Implementación ● El monitoreo continuo de los aspectos claves y la evaluación periódica habilita a la gerencia y la autoridad de gobierno a determinar si la capacidad opera efectiva y eficientemente a través del tiempo. ● La re-evaluación del diseño de la capacidad, en forma periódica, asegura que se mantiene en condiciones de relevancia a la luz de las circunstancias cambiantes. ● El monitoreo aporta evidencia para soportar afirmaciones sobre la efectividad de la capacidad. ● La efectividad de la capacidad debe estar basada en su habilidad para gobernar, gestionar y proveer aseguramiento en sus actividades. ● Las organizaciones, con frecuencia, usan recursos de tecnología para ejecutar las actividades de monitoreo.

R2 Aseguramiento Proveer aseguramiento a la gerencia, la autoridad de gobierno y otras partes interesadas sobre la confiabilidad, efectividad, eficiencia y respuesta de la capacidad. ●

●

Planear la Evaluación del Aseguramiento – Determinar el alcance, procedimientos y criterios requeridos para proveer un nivel de aseguramiento deseado a partes interesadas relevantes. Desarrollar la Evaluación del Aseguramiento – Desarrollar procedimientos, evaluar resultados frente a los criterios establecidos, hacer recomendaciones relevantes y reportar los resultados y conclusiones.

Consideraciones de Diseño & Implementación ● La gerencia y la autoridad de gobierno necesitan aseguramiento objetivo e independiente sobre la efectividad y el desempeño de la capacidad. ● El nivel de aseguramiento deseado puede variar en diferentes oportunidades y para diferentes propósitos. ● El personal de aseguramiento objetivo e independiente, aplicando estándares profesionales y con experiencia pertinente, provee el más alto nivel de aseguramiento. ● Los esfuerzos de aseguramiento son más efectivos cuando aplican un modelo basado en riesgo para la planeación y el desempeño de los compromisos de aseguramiento. ● El aseguramiento deben enfocarse en la habilidad de la capacidad para satisfacer sus objetivos, siendo consistente con los criterios para la toma de decisiones para aceptables niveles residuales de riesgo, retorno y cumplimiento.

R3 Mejoramiento Examinar la información de monitoreo, evaluación periódica, aseguramiento y acciones y controles detectivos, para identificar oportunidades para el mejoramiento de la capacidad. ● ●

Desarrollar un Plan de Implementación – Desarrollar un plan priorizado para implementar los mejoramientos de la capacidad. Implementar Iniciativas de Mejoramiento – Implementar las iniciativas y planes de acción específicos orientados a mejorar la capacidad.

Consideraciones de Diseño & Implementación ● El mejoramiento continuo y sistémico es el sello de madurez de una capacidad de alto desempeño. ● Los esfuerzos de mejoramiento permiten la implementación de nuevas innovaciones y tecnologías. ● La realización de presupuestos regulares de actividades de mejoramiento habilita la continua eficiencia y maduración de la capacidad. ● La incorporación de actividades de retroalimentación y evaluación posterior (lecciones aprendidas, análisis de causa original, etc.) dentro de los procesos de la organización ayuda a asegurar que áreas de mejoramiento necesario son identificadas y direccionadas. ● La incorporación de actividades de gestión del cambio en todos los planes de mejoramiento ayuda a asegurar que las personas son conscientes y aceptan los cambios.

OCEG Red Book GRC Modelo de Capacidad Versión 3.0 Apéndice A – Prácticas

COMPRENDER L1 CONTEXTO EXTERNO Entender el contexto externo en el cual opera la organización. L1.1 ANALIZAR EL CONTEXTO EXTERNO L1.1.01 Identificar los factores que se presentan en el contexto externo del negocio que pueden afectar la capacidad de la organización para cumplir sus objetivos, incluidos: ● Los factores de la industria (competencia, cadena de abastecimiento, mercados laborales, clientes, etc.); ● Los factores del mercado (demografía de los clientes, condiciones económicas, etc.); ● Los factores tecnológicos (cambios y avances tecnológicos, etc.); ● Los factores sociales (necesidades de la comunidad, tendencias de los medios de información, etc.); ● El ambiente normativo (leyes, reglas y normas; tendencias de aplicación de las leyes, etc.); y ● Los factores geopolíticas (política nacional; estabilidad política; situación de guerra y paz, etc.). L1.1.02 Identificar a las partes interesadas externos e influenciadores clave, incluyendo: ● Los accionistas; ● Las clasificadoras de riesgo; ● Los acreedores; ● Los clientes; ● Los proveedores y socios de negocio; ● La comunidad; ● Los medios de información; y ● El gobierno. L1.2 ANALIZAR LAS NECESIDADES DE LOS INFLUENCIADORES Y LAS PARTES INTERESADAS EXTERNAS L1.2.01 Reunir y revisar la información disponible de cada una de las partes interesadas clave de la organización incluyendo: ● Misión, visión y valores, ● Cualquiera de los documentos o declaraciones sobre la relación con su organización, ● Individuos clave que son importantes para el relacionamiento, y ● Cualquier información sobre conductas éticas o, bien, temas o inquietudes respecto a incumplimientos. 55

L1.2.02 Identificar las razones y oportunidades para influir a las partes interesadas. L1.2.03 Identificar oportunidades en que la entidad puede afectar las percepciones y requerimientos de las partes interesadas y personas influyentes. L1.2.04 Asignar un dueño/responsable para de mantener información sobre cada grupo clave actual de partes interesadas y para informar a los ejecutivos de relaciones con las partes interesadas de cambios relevantes. L1.2.05 Entender como recientes reglas, leyes, estándares u otras directrices propuestas o aprobadas afectan la organización y su habilidad para lograr sus objetivos. L1.3 MONITOREAR EL CONTEXTO EXTERNO L1.3.01 Monitorear a los grupos de partes interesadas respecto a cambios en sus opiniones y a las personas clave. L1.3.02 Monitorear las condiciones de mercado y cambios geopolíticos en las áreas relevantes de la operación. L1.3.03 Monitorear a los participantes de la industria y la competencia respecto a temas de riesgos y cumplimiento. L1.3.04 Monitorear a pares de la industria definidas así por las similitudes en el número de empleados, las actividades comerciales y el alcance geográfico respecto a temas de riesgos y cumplimiento. L1.3.05 Monitorear los cambios en los requerimientos externos, entre las que se incluyen las provenientes de: ● Leyes, reglas y normas, ● Lineamientos y pronunciamientos administrativos, ● Dictámenes judiciales importantes, ● Guías normativas, ● Guías judiciales, ● Interpretaciones legales, ● Órdenes de consentimiento y acuerdos sobre integridad, ● Actividades para la aplicación de normas, ● Contratos, ● Estándares y ● Compromisos de asociaciones comerciales. L1.3.06 Monitorear los cambios en las costumbres y prácticas de la industria y diferencias culturales en las localidades pertinentes. 56

L1.3.07 Notificar a los encargados de las actividades de optimización de los riesgos sobre los cambios en el contexto, incluidos aquellos que requieren consideración inmediata. L1.3.08 Notificar a los encargados de las actividades de optimización y análisis de riesgo que revisen o extiendan la matriz de riesgos priorizados y el plan para la optimización de los riesgos para reflejar, si procede: ● Los cambios en la forma por riesgos y requerimientos adicionales, alterados o eliminados, ● El análisis revisado de los riesgos inherentes, ● El análisis de los riesgos residuales actuales, ● La categorización y priorización, ● La estrategia para la optimización de riesgos, ● Las actividades para la optimización de riesgos, y ● El riesgo residual planificado. L1.3.09 Monitorear las actividades de cumplimiento de las entidades regulatorias y entrar en consideración de cómo estas acciones podrían impactar de manera indirecta a la organización a través de cambios en las condiciones, o directamente si el ente regulador elige examinar a la organización. L1.3.10 Identificar los factores determinantes para la consideración de cambios en las capacidades integradas, en respuesta de los cambios en el contexto externo.

L2 CONTEXTO INTERNO Entender el contexto interno del negocio sobre el cual la organización opera. L2.1 ANALIZAR EL CONTEXTO INTERNO L2.1.01 Determinar qué aspectos del contexto interno pueden y deberían cambiarse para permitirle que la organización apoye los objetivos organizacionales. L2.1.02 Identificar y describir la estructura organizacional interna, los procesos clave del negocio y las relaciones entre estos, incluyendo los que están en la empresa extendida. L2.1.03 Identificar y describir los activos clave en el capital humano, tecnología, materiales/lugares físicos e información. L2.1.04 Identificar y describir productos y servicios clave. L2.1.05 Identificar las relaciones que existen entre los elementos de la estructura, las personas, los procesos, la tecnología, la información y los recursos físicos para comprender cómo los recursos funcionan en conjunto para lograr los objetivos.

L2.1.06 Identificar las estrategias que existen para lograr los objetivos del negocio. L2.1.07 Identificar los factores desencadenantes para considerar los cambios en las capacidades integradas, en respuesta a los cambios en el contexto interno. L2.2 OBSERVAR EL CAMBIO DEL CONTEXTO INTERNO L2.2.01 Monitorear los cambios significativos en la estrategia de negocio como por ejemplo: los cambios en los objetivos, valores y estrategia del negocio, el desarrollo de productos nuevos, la expansión a nuevos mercados, cambios significativos en la estructura organizacional, lideres nuevos o cambiantes, las fusiones y adquisiciones. L2.2.02 Monitorear los cambios en el personal. L2.2.03 Monitorear los cambios en los procesos. L2.2.04 Monitorear los cambios tecnológicos. L2.2.05 Notificar a los encargados de las actividades de optimización de riesgo sobre los cambios en el contexto, incluidos los que se deben considerar de inmediato. L2.2.06 Los encargados de las actividades de optimización y análisis de riesgo revisan la matriz de riesgos priorizados y el plan para la optimización de los riesgos para reflejar, si procede: ● ● ● ● ● ● ●

Los cambios en la forma por riesgos y requerimientos adicionales, alterados o eliminados, El análisis revisado de los riesgos inherentes, El análisis de los riesgos residuales actuales, La categorización y priorización, La estrategia para la optimización de riesgos, Las actividades para la optimización de riesgos, y El riesgo residual planificado.

L3 CULTURA Comprender la cultura actual, incluyendo como el liderazgo modela la cultura, el clima organizacional y la mentalidad individual sobre el gobierno, aseguramiento y gestión del desempeño, riesgo y cumplimiento. L3.1 ANALIZAR LA CULTURA DE GOBERNANZA L3.1.01 Formularle al Consejo de Directores las siguientes preguntas: ● ¿Se siente cómodo planteando preguntas o situaciones complejas? ● ¿Se siente cómodo desafiando a la administración? ● ¿Son consideradas sus sugerencias? 58

● ●

¿Qué tanto se involucran en la determinación y aprobación de la estrategia de la organización? ¿El Consejo de Directores es eficaz?

L3.1.02 Formularle a la administración las siguientes preguntas: ● ¿El Consejo de Directores es eficaz? ● ¿Están comprometidos los miembros del Consejo de Directores? ● ¿Estos proporcionan una orientación adecuada sobre los objetivos? ● ¿El Consejo de Directores establecen criterios claros para la toma de decisiones? L3.1.03 Evaluar la eficacia del Consejo de Directores considerando: ● número de sesiones al año ● frecuencia de sesiones sin uno o más de los miembros ● recursos a disposición de los miembros del Consejo de Directores ● entrenamientos especializados proporcionados a los miembros del Consejo de Directores ● número y naturaleza de miembros independientes del Consejo de Directores ● grado de participación transversal entre los miembros (hasta qué grado se desempeñan en varios Consejo de Directores en conjunto). L3.1.04 Determinar si el Consejo de Directores participa en la administración de la organización, y de ser así, comprender de qué forma participa. L3.2 ANALIZAR LA CULTURA DE GESTIÓN L3.2.01 Evaluar de manera periódica, a través de una muestra de empleados, las percepciones de si sus líderes: ● Comunican la conducta ética y la integridad como prioridad, ● Ejemplifican la conducta ética, ● Garantizan que las partes interesadas internos se encuentran bien capacitados sobre ética y la priorizan, ● Relacionan la ética con las métricas de desempeño organizacional, ● Toman decisiones éticas y ● Conversan sobre cómo la ética o la integridad se relacionan con los objetivos organizacionales, iniciativas y éxito de la entidad. L3.2.02 Determinar si se considera la conducta ética y la integridad al evaluar, ascender y seleccionar a los líderes. L3.2.03 Determinar si los posibles futuros líderes y líderes recién ascendidos se encuentran capacitados sobre: ● La toma de decisiones de carácter ético, ● Cómo la ética se relaciona con los objetivos organizacionales y ● Cómo comunicar el efecto de la ética en el desempeño de la entidad. 59

L3.2.04 Comparar los objetivos, medidas, metas e iniciativas éticas de los líderes con los resultados obtenidos. L3.2.05 Identificar como se delega la autoridad para la toma de decisiones administrativas. L3.2.06 Determinar cómo se asignan y se hacen cumplir la responsabilidad y la rendición de cuentas. L3.2.07 Comprender el nivel relativo de formalidad / informalidad de la administración. L3.2.08 Comprender la filosofía que existe en torno a la toma de decisiones centralizada o descentralizada. L3.2.09 Comprender la filosofía que existe en torno a la medición del desempeño de la empresa, el grupo y las personas: ● Resistencia a la medición; ● Prevalencia de la medición; ● Preferencias en tipos de medición (actividades o resultados); ● Lo que se informa (positivo, negativo o ambos); ● Resultados de la medición (centrados en las retribuciones, las consecuencias o equilibrado). L3.3 ANALIZAR LA CULTURA DE RIESGOS L3.3.01 Periódicamente cuestionar a acerca del liderazgo, administración y de la fuerza de trabajo a través de preguntas que permitan la evaluación de la cultura del riesgo, incluyendo: ● Si en el liderazgo se comunica el apetito y la tolerancia al riesgo, ● Si el liderazgo da un ejemplo de conducta apropiada para asumir riesgos, ● Si las personas se enfrentan a riesgos en el trabajo y de qué tipo, y ● Si las personas están preparadas para manejar los riesgos que enfrentan. L3.3.02 Evaluar la cultura de riesgos actual (aversión al riesgo, asunción de riesgos, etc.) para cada aspecto de operaciones y en general en la entidad. L3.3.03 Definir el estado deseado para el clima de riesgo e indicadores de percepciones. L3.3.04 Determinar si la administración asume riesgos adecuadamente, conmensurado con el criterio para la toma de decisiones, o si rutinariamente acepta más riesgos de lo deseado por la autoridad de gobierno. L3.3.05 Determinar si los empleados creen que es más importante lograr metas a todo costo, o asumen riesgos calculados acorde al criterio para la toma de decisiones.

L3.3.06 Determinar si los procesos de evaluación de desempeño incentivan a la administración o a los empleados a asumir un nivel de riesgo inaceptable. L3.4 ANALIZAR LA CULTURA ETICA L3.4.01 Analizar el clima ético actual (elementos observables y formales dentro de la entidad) y las mentalidades individuales, para determinar el grado hasta el cual el personal cree que la organización espera y apoya conductas responsables e integras. L3.4.02 Evaluar de manera periódica, a través de una muestra de empleados, el clima ético incluyendo preguntas sobre: ● Las percepciones acerca de los valores y principios establecidos, y apoyo organizacional al respecto, ● La claridad de los procedimientos por los cuales se pueden plantear, analizar e informar posibles problemas sin temor a una represalia, ● Cómo los jefes y supervisores demuestran fortaleza ética y agudeza empresarial, ● Mala conducta observada por los empleados, ● Tipos de mala conducta observada, ● La presión para participar en actos de conducta poco ética o retribuciones que se perciben por realizarlos, ● La disposición de los empleados a denunciar la mala conducta, ● La satisfacción con la respuesta de la entidad frente a las denuncias de mala conducta, y ● Cuándo y cómo los jefes y supervisores analizan el comportamiento e integridad que se espera. L3.4.03 Identificar cómo la entidad comenta los siguientes aspectos por medio de varios canales de comunicación: ● La importancia de la integridad, los valores y los principios en la toma de decisiones, ● La importancia de preguntar y plantear problemas cuando existen inquietudes, ● Cómo denunciar incidentes y plantear preguntas, ● El grado de seguridad que ante incidentes se generará una reacción oportuna, ● El grado de seguridad que ante denuncias de incidentes no se generará ninguna represalia, ● Un compromiso con alternativas de denuncia anónima y ● Un modelo para la toma de decisiones de manea ética. L3.4.04 Definir los objetivos de clima ético, medidas, metas e iniciativas.

L3.5 ANALIZAR EL COMPROMISO DEL PERSONAL L3.5.01 Evaluar las opiniones del personal sobre la alineación de los valores personales con la visión y valores de la entidad. L3.5.02 Preguntar a una muestra del personal sobre su satisfacción respecto a: ● Sueldos, ● Responsabilidad, ● Oportunidades profesionales, ● Compañeros de trabajo, ● Supervisores, ● Alta gerencia y ● Personal de apoyo. L3.5.03 Periódicamente preguntar a una muestra del personal su percepción respecto a: ● El nivel de compromiso con la entidad, ● Participación, ● Lealtad y ● Disponibilidad para recomendar el empleador a amigos. L3.5.04 Periódicamente preguntar a una muestra de personal sobre su percepción de: ● El compromiso de la administración con la competencia, ● Políticas y prácticas de contratación, ● Políticas y prácticas de capacitación, ● Políticas y prácticas de medición, ● Políticas y prácticas de evaluación del desempeño, ● Políticas y prácticas de ascensos y promociones, ● Tutorías y orientación profesional, ● Políticas y prácticas sobre sueldos, y ● Políticas y prácticas sobre retribuciones y acciones disciplinarias. L3.5.05 Preguntar en forma periódica a la administración sobre su compromiso con el personal, incluidas las opiniones sobre: ● El compromiso con la competencia, ● Políticas y prácticas de contratación, ● Políticas y prácticas de capacitación, ● Políticas y prácticas de evaluación del desempeño, ● Políticas y prácticas de ascensos y promociones, ● Tutorías y orientación profesional, ● Políticas y prácticas sobre sueldos, ● Políticas y prácticas sobre retribuciones y acciones disciplinarias, ● Funciones, cargos y carrera profesional, y ● Prácticas sobre despido y jubilación. 62

L3.6 OBSERVAR LA CULTURA L3.2.05 Monitorear los cambios en la cultura, incluida cualquier variación significativa de las métricas de la cultura en las unidades de negocio, departamentos, cargos o localidades. L3.2.02 Monitorear los cambios en los lideres y personal clave que puedan tener un impacto en la gobernanza, la gestión, las culturas éticas o con el compromiso del personal.

L4 PARTES INTERESADAS Interactuar con las partes interesadas para comprender las expectativas, requerimientos y perspectivas que impactan a la organización. L4.1 COMPRENDER LAS PARTES INTERESADAS L4.1.01 Crear un inventario de las entidades clave que conforman las partes interesadas y categorizarlas por tipo, incluidos: ● Entes gubernamentales supervisores y agencias regulatorias, ● Inversionistas, ● Aseguradoras, ● Clasificadoras de riesgo y bolsas, ● Proveedores, socios de la empresa extendida, ● Clientes, ● Comunidades de operaciones, y ● Los empleados, agentes y sindicatos. L4.2 ANALIZAR LAS NECESIDADES DE LOS INFLUENCIADORES Y DE LAS PARTES INTERESADAS EXTERNAS L4.2.01 Reunir y revisar información disponible sobre cada organización clave de las partes interesadas, entre la que se incluye: ● La misión, visión y valores, ● Declaraciones o documentos sobre el relacionamiento con su entidad, ● Las personas clave que son importantes para la relación, ● Información publicada por las partes interesadas de sus necesidades, y ● Cualquier información sobre conductas éticas o, bien, temas o inquietudes respecto a incumplimientos. L4.2.02 Asignar un dueño/responsable de mantener vigente la información sobre cada grupo de partes interesadas clave, evaluar sus opiniones y necesidades e informar a los ejecutivos encargados de las relaciones con ellos sobre los cambios pertinentes. L4.2.03 Establecer procedimientos para hacer un seguimiento, revisar y comentar sobre reglas, normas y guías propuestas por las partes interesadas.

L4.2.04 Realizar reuniones con las partes interesadas para entender y discutir sobre elementos planificados y proporcionar un punto de vista organizacional. L4.2.05 Realizar reuniones con las partes interesadas para discutir sobre la necesidad y el beneficio de los elementos propuestos en términos que satisfagan los intereses de la autoridad. L4.3 DESARROLLAR EL PLAN DE RELACIONES CON PARTES INTERESADAS L4.3.01 Identificar las circunstancias y procesos en que se pueda necesitar de comunicaciones especiales con cada tipo de parte interesada. L4.3.02 Elaborar un plan de alto nivel sobre comunicaciones que se alinee con los canales de comunicación de la entidad, existentes, y que pueden adaptarse a circunstancias y requerimientos específicos. L4.3.03 Definir las interdependencias de las comunicaciones y cómo cada una se ajusta al panorama global de comunicación de la entidad. L4.3.04 Determinar qué funciones pueden autorizar la iniciación de comunicaciones con cada tipo o grupo de partes interesadas. L4.3.05 Determinar quién establece y aprueba los contenidos y diseño de las comunicaciones para cada tipo y grupo de interesados. L4.3.06 Determinar quién ejecuta, responde e interactúa (es decir, el “representante de la entidad”) con cada tipo o grupo de interesados. L4.3.07 Identificar a otros participantes en cualquier proceso en que las relaciones con las partes interesadas son importantes, incluidas las probables coaliciones y sus posiciones esperadas que pueden influir en las opiniones de las partes interesadas y estar preparados para responder. L4.3.08 Establecer relaciones de confianza y respeto con funcionarios clave de los grupos de partes interesadas por medio de crear una reputación basada en aportar asistencia valiosa y confiable, e información veraz. L4.3.09 Formar coaliciones formales e informales con entidades que comparten el punto de vista de la entidad.

ALINEAR A1 DIRECCIÓN Proporcionar la dirección a través del establecimiento claro de la misión, visión y valores, objetivos y políticas de alto nivel, así como las directrices de cómo deben tomarse las decisiones. A1.1 DEFINIR LA MISIÓN, VISIÓN Y VALORES A1.1.01 Definir e involucrar al Consejo de Directores y a las partes interesadas internas apropiadas en el proceso de desarrollo. A1.1.02 Crear una declaración formal de la misión, es decir, lo que la entidad realizará, y la visión, es decir, lo que la entidad será en el futuro. A1.1.03 Crear una declaración formal de los valores fundamentales que la organización aplica y sostiene sobre las decisiones del negocio. A1.1.04 Obtener el compromiso de la alta gerencia y los miembros del Consejo de Directores con la misión, visión y valores. A1.1.05 Documentar la declaración de la misión, visión y valores, por separado o parte de otro documento, como por ejemplo estatutos o códigos de conducta. A1.1.06 Comunicar la misión, visión y valores a las partes interesadas internas y externos de manera formal por medio de: el código de conducta, el sitio web de la entidad, los informes y las comunicaciones a los accionistas y otras partes interesadas, y anuncios en el lugar de trabajo. A1.1.07 Revisar periódicamente la declaración de la misión, visión y valores para considerar las revisiones tomando como base el negocio interno y externo, la administración, y los cambios en el contexto legal o cultural. A1.1.08 Definir un procedimiento y circunstancias en las cuales la declaración de valores debe ser actualizada al fusionarse o adquirir otra entidad. A1.2 ANALIZAR OPORTUNIDADES, AMENAZAS Y REQUERIMIENTOS A1.2.01Analizar, en un alto nivel, oportunidades, amenazas y requerimientos pues pueden afectar decisiones sobre los objetivos y estrategias. 65

A1.2.02 Identificar oportunidades de alto nivel que son eventos y condiciones que, en conjunto, contribuyen a retribuir (lo cual es una medida de la probabilidad, del momento de ocurrencia y del impacto positivo de un evento sobre el logro de objetivos). A1.2.03 Identificar amenazas de alto nivel que son eventos y condiciones que, en conjunto, contribuyen al riesgo (lo cual es una medida de la probabilidad, del momento de ocurrencia y del impacto negativo de un evento sobre el logro de objetivos). A1.2.04 Identificar los requerimientos legales explícitos y derivados que aplican a la organización que puedan impactar la declaración de objetivos o estrategias. A1.2.05 Identificar otros requerimientos externos explícitos y derivados potencialmente aplicables a la organización que puedan impactar la declaración de objetivos o estrategias. A1.2.06 Identificar requerimientos internos explícitos y derivados establecidos en: misión, visión, valores, código de conducta, políticas y procedimientos establecidos. A1.3 DEFINIR METAS DE ALTO NIVEL A1.3.01 Definir metas de alto nivel de tipo de objetivos del negocio, incluidos: ● Objetivos estratégicos, ● Objetivos financieros, ● Objetivos de clientes, ● Objetivos de procesos operacionales, ● Objetivos de aprendizaje y crecimiento, ● Objetivos de cumplimiento y ● Objetivos de emisión de informes y reporte. A1.3.02 Definir metas específicas medibles de alto nivel para cada categoría. A1.3.03 Difundir los objetivos del negocio hacia los niveles inferiores dentro de la entidad, incluidas las unidades de negocio, departamentos, equipos y personas, con el propósito de que los objetivos del negocio de niveles inferiores se correlacionen con los de más alto nivel. A1.3.04 Asignar responsabilidad de rendición de cuentas para lograr los objetivos del negocio en cada uno de los niveles. A1.4 DEFINIR LIMITES ADMINISTRATIVOS A1.4.01 Definir los limites administrativos basados en la misión, visión, valores y expectativas del Consejo de Directores y las partes interesadas.

A1.4.02 Documentar los limites administrativos como restricciones de autoridad u otras políticas que aseguren que la administración entiende claramente los niveles de retribución, riesgo y cumplimiento que son aceptables para el Consejo de Directores y las partes interesadas. A1.4.03 El Consejo de Directores debe establecer actividades de monitoreo para asegurar que la administración se mantiene dentro de los limites administrativos establecidos. A1.4.04 La administración debe regirse de los límites administrativos definidos y el criterio para la toma de decisiones en el desarrollo de objetivos y estrategias de bajo nivel. A1.5 DEFINIR EL CRITERIO PARA LA TOMA DE DECISIONES A1.5.01 Definir el criterio para seleccionar objetivos y estrategias, incluyendo las directrices sobre las prioridades, el riesgo/beneficio (por ejemplo, el apetito al riesgo, tolerancia y capacidad) y el cumplimiento. A1.5.02 Para cada objetivo del negocio o categoría de objetivos, definir el nivel de tolerancia al riesgo/beneficio cualitativa o cuantitativa, es decir, el nivel límite de riesgo que la entidad no está disponible a sobrepasar en la búsqueda de sus objetivos, considerando la capacidad de riesgo. A1.5.03 Para cada objetivo del negocio o categoría de objetivos, definir el apetito al riesgo cualitativo o cuantitativo, es decir, el nivel de riesgo que la entidad desea tomar en la búsqueda de sus objetivos, considerando la tolerancia y capacidad de riesgo. A1.5.04 Definir otros criterios para analizar los riesgos/beneficio, y la conformidad relacionada con los objetivos. A1.5.05 Obtener el compromiso del Consejo de Directores y de la Alta Dirección al apetito y tolerancia al riesgo. A1.5.06 Proporcionar directrices de toma de decisiones éticas para usar en circunstancias que no se cubren explícitamente en el código de conducta, políticas y procedimientos, asegurando la localización y globalización de las directrices de toma de decisiones éticas que consideran conflictos locales y necesidades de lenguaje mientras se preservan los factores de decisión previstos por la administración.

A1.5.07 Identificar los factores éticos y culturales que se deben considerarse al tomar una decisión, entre los que se incluye: ● Consistencia con la misión, visión y valores de la entidad; ● Cumplimiento con los requerimientos de la entidad; ● Integridad de todos los hechos necesarios para tomar una decisión; ● Coherencia con el comportamiento histórico de la entidad y las decisiones futuras previstas en circunstancias parecidas; y ● Consideración de las probables repercusiones y reacciones de las partes interesadas, personas influyentes o el público. A1.5.08 Establecer el criterio de toma de decisiones relacionado con el nivel deseado de cumplimiento de requerimientos. A1.5.09 Definir un conjunto balanceado de indicadores rezagados y orientadores que ayuden a la administración a entender si la organización cumple sus metas de alto nivel de acuerdo a las tolerancias definidas. A1.5.10 Determinar las tolerancias que representan umbrales superiores e inferiores del valor de los indicadores.

A2 OBJETIVOS Definir un conjunto balanceado de objetivos medibles que son consistentes con el criterio de toma de decisiones y apropiados para el marco de referencia establecido. A2.1 APLICAR EL CRITERIO DE TOMA DE DECISIONES A2.1.01 Definir objetivos específicos consistentes con el criterio de toma de decisiones estipulado para los niveles aceptables del riesgo residual, desempeño y cumplimiento atendiendo a la misión, visión, valores, metas de alto nivel y el marco de referencia. A2.1.02 Para cada objetivo del negocio o categoría de objetivos, definir el nivel de tolerancia al riesgo cualitativa o cuantitativa, es decir, el nivel límite de riesgo que la entidad no está disponible a sobrepasar en la búsqueda de sus objetivos, considerando la capacidad de riesgo. A2.1.03 Para cada objetivo del negocio o categoría de objetivos, definir el apetito al riesgo cualitativo o cuantitativo, es decir, el nivel de riesgo que la entidad desea tomar en la búsqueda de sus objetivos, considerando la tolerancia y capacidad de riesgo. A2.1.04 Para cada objetivo del negocio o categoría de unidad de negocio, definir un enfoque cualitativo y cuantitativo de los niveles de retribución y cumplimiento aceptable. A2.1.05 Definir un apetito de riesgo explícito, igual a cero, respecto a infringir requerimientos obligatorios. 68

A2.1.06 Definir metas e indicadores (orientadores y rezagados) para ayudar a la organización a asegurar que se mantiene dentro del criterio de toma de decisiones. A2.2 DESARROLLAR UN CRITERIO DE TOMA DE DECISIONES ADICIONAL A2.2.01 Desarrollar un criterio de toma de decisiones adicional, si es requerido, para guiar las acciones cuando se pretende el logro de objetivos establecidos. A2.3 CONSIDERAR LOS EFECTOS ACUMULATIVOS O DE COMPETENCIAS SOBRE LOS OBJETIVOS A2.3.01 Evaluar los objetivos en un contexto más amplio para considerar los impactos sobre otros objetivos, ambos contenidos en el marco de referencia definido, y a mayor escala para la unidad de negocio, organización, etc. A2.3.02 Determinar si algunos objetivos tienen prioridad sobre otros cuando el criterio para la toma de decisiones demandaría una reconsideración. A2.3.03 Escalar las decisiones relativas a las competencias sobre la emisión de objetivos cuando van más allá de los grados de autoridad establecidos de acuerdo con los marcos de referencia definidos. A2.4 DOCUMENTAR LOS OBJETIVOS A2.4.01 Documentar los objetivos para que puedan ser vistos y usados por todas las partes relevantes incluyendo los administradores internos responsables por el logro de objetivos y las partes interesadas internos/externos. A2.4.02 Asegurar que los objetivos son específicos, medibles, relevantes, realizables y limitados en el tiempo para habilitar la evaluación del desempeño de los objetivos. A2.4.03 Establecer los dueños y la rendición de cuentas de cada objetivo en todos los niveles relevantes de la organización, incluyendo la responsabilidad de establecer y gestionar objetivos de bajo nivel. A2.4.04 Determinar los factores desencadenantes y los mecanismos para revisar y actualizar los objetivos.

A3 IDENTIFICACIÓN Identificar las fuerzas que pueden causar efectos deseables (oportunidades) o indeseables (amenazas) en el logro de los objetivos del negocio, al igual que las que pueden forzar al negocio a dirigirse de una manera en particular (requerimientos). A3.1 CAPACIDAD DE REVISIÓN A3.1.01 Revisar los objetivos del negocio y determinar cuáles son pertinentes dado el alcance actual. A3.1.02 Identificar las líneas clave del negocio y las entidades organizacionales. A3.1.03 Identificar los proyectos, programas e iniciativas especiales clave. A3.1.04 Identificar los procesos clave. A3.1.05 Identificar los recursos clave, entre los que se incluyen: las personas, el capital, la información, la tecnología, las instalaciones y otros. A3.2 IDENTIFICAR FUERZAS A3.2.Identificar las fuentes y factores políticos, incluidos: ● Los cambios políticos, ● Los partidos y favoritismos políticos, ● El control político de recursos o industrias nacionales y ● La inquietud pública. A3.2.02 Identificar fuentes y fuerzas económicas, entre las que se incluyen: ● Los cambios en los indicadores macroeconómicos, ● Las variaciones en el ingreso disponible y el poder adquisitivo, ● Las tasas de interés, ● Las fluctuaciones de la moneda, y ● Los ciclos económicos. A3.2.03 Identificar las fuentes y fuerzas sociales entre las que se incluye: ● ● ● ● ● ● ●

El cambio demográfico, Los cambios de estilo de vida, El cambio mundial de la cultura y subculturas, Los cambios en la expectativa de vida, Los cambios en los valores y preferencias de la sociedad, Las actitudes hacia el trabajo, la vida y el ocio, y Las creencias religiosas y seculares. 70

A3.2.04 Identificar las fuentes y factores tecnológicos entre las que se incluye: ● La velocidad de cambio, ● La disponibilidad y el costo de los recursos computacionales, la información y la comunicación, ● Los nuevos procesos y materiales industriales, y ● Los cambios en el transporte y la distribución. A3.2.05 Identificar las fuentes y fuerzas legales entre las que se incluye: ● Actuales y potenciales nuevas leyes, reglas y normas, ● Los matices internacionales y posible conflicto en los requerimientos, ● Las tendencias en la aplicación, y ● Las tendencias en los litigios civiles y relacionados. A3.2.06 Identificar las fuentes y fuerzas medioambientales entre las que se incluye las inundaciones, los incendios o los terremotos. A3.2.07 Identificar las fuentes y fuerzas de partes interesadas externos entre las que se incluye: ● Los clientes, ● Los medios de información, ● El gobierno, ● Los socios comerciales y ● Organizaciones en la sociedad. A3.2.08 Identificar las fuentes y fuerzas de la competencia entre las que se incluyen: ● El aumento de las capacidades competitivas, y ● La conducta poco ética incluidos el fraude y otros delitos dirigidos en la entidad. A3.2.09 Identificar las fuentes y factores del modelo de negocio entre las que se incluyen: ● Los cambios en la misión, visión y valores, ● Los cambios en los objetivos del negocio, y ● Los cambios en las estrategias y estructura del negocio. A3.2.10 Identificar las fuentes y factores del capital humano entre las que se incluye: ● ● ●

Los cambios en el Consejo de Directores , Los cambios en la alta gerencia y Los cambios en el personal.

A3.2.11 Identificar las fuentes y factores de los procesos internos entre las que se incluyen: ● Los cambios en los procesos de negocio, ● La habilidad de abordar una demanda por debajo o sobre la capacidad, ● La habilidad de ejecutar según el plan, y ● La dependencia de contratistas y proveedores externos. 71

A3.2.12 Identificar las fuentes y fuerzas tecnológicas internas entre las que se incluye: ● Los cambios en la infraestructura de TI, ● La integridad de los datos, ● La disponibilidad de los datos y el sistema, y ● Las capacidades para implementar y sustentar los sistemas. A3.2.13 Identificar las fuentes y fuerzas económicas internas entre las que se incluye: ● Los cambios en las reservas de capital, ● Los cambios en las tasas de rentabilidad exigidas y ● Los cambios en la disponibilidad de capital. A3.2.14 Asignar responsabilidad para monitorear e identificar los cambios en los factores internos que modifiquen o signifiquen riesgos, o cambien la forma de realizar el análisis de riesgo y cumplimiento, entre los que se incluyen: ● Las fusiones y adquisiciones, ● El desarrollo de nuevos productos, ● La expansión a nuevos mercados, ● Nuevos contratos o compromisos voluntarios, ● Los cambios de personal clave o de la Administración y ● Los cambios al proceso de negocio. A3.2.15 Asignar responsabilidad para monitorear e identificar los cambios en los factores externos que modifiquen o signifiquen riesgos, o cambien la forma de realizar el análisis de riesgo y cumplimiento, entre los que se incluye: ● Los hechos y ciclos macroeconómicos, ● Nuevas leyes, reglas o normas, ● Los cambios en el clima normativo, ● Los peligros naturales o para la salud, ● Los hechos y cambios políticos, ● Los cambios en las actitudes y percepciones de la sociedad, y ● Los cambios en las actitudes, percepciones y expectativas de las partes interesadas. A3.3 IDENTIFICAR OPORTUNIDADES, AMENAZAS Y REQUERIMIENTOS A3.3.01 Identificar las oportunidades, las cuales son hechos y condiciones que, en última instancia, contribuyen al beneficio (la cual constituye una medición de la probabilidad, oportunidad y efecto positivo de un hecho en el logro de los objetivos).

A3.3.02 Identificar las amenazas, las cuales son hechos y condiciones que, en última instancia, generan el riesgo (el cual constituye una medición de la probabilidad, oportunidad y efecto negativo de un hecho en el logro de los objetivos), entre las que se incluyen las amenazas que afectan: ● La salud y la seguridad, ● La economía, por ejemplo los cambios indeseables en los precios de las acciones e índices, tasas de interés, tipo de cambio, precios de productos básicos, pagos de clientes o deudores, clasificación crediticia de clientes o deudores y liquidez de clientes o deudores, ● La continuidad del negocio, por ejemplo el terrorismo o un desastre, ● Las operaciones comerciales, por ejemplo prohibiciones o restricciones de actividades específicas, ● El prestigio y reputación, por ejemplo la mala calidad de los productos, la mala conducta de los empleados, el cohecho, el fraude, la corrupción (el soborno), el acoso y el comportamiento intimidante, la injuria delictiva, etc., A3.3.03 Identificar los requerimientos, los cuales son límites obligatorios o voluntarios, que pueden obligar a la organización a conducirse de una manera particular. A3.3.04 Para comprender las oportunidades y amenazas, utilizar varias técnicas que para visualizar los procesos y recursos desde diferentes puntos de vista, entre los que se incluye: ● Mapa de procesos, la representación gráfica de los procesos que despliega todos los procesos clave e identifica las áreas donde las fuentes y factores pueden generar oportunidades o amenazas; ● Mapa de recursos, la representación gráfica de los recursos que despliega todos los recursos clave (financieros, humanos, tecnológicos, instalaciones, información, etc.) e identifica cómo las fuentes y factores pueden generar oportunidades o amenazas; e ● Inventario de eventos, listados detallados de hechos y condiciones que resultan comunes en las entidades en un sector, una zona geográfica o un modelo operativo en particular. A3.3.05 Identificar los aspectos clave de cumplimiento legal que son pertinentes para la entidad, como por ejemplo: ● Empleo, ● Administración, privacidad y seguridad de la información, ● Salud y seguridad medioambiental, ● Prácticas extranjeras de corrupción, ● Antimonopolio, ● Contratación del gobierno y ● Requerimientos regulatorios de la industria.

A3.3.05 Identificar los requerimientos legales explícitos y derivados que son pertinentes para la entidad, incluidas las contenidas en: ● Leyes, reglas y normas, ● Jurisprudencia administrativa, ● Jurisprudencia judicial, ● Contratos y ● Conciliaciones u órdenes de consentimiento y acuerdos de integridad. A3.3.06 Identificar otros requerimientos externos explícitos y derivados que posiblemente sean pertinentes para la entidad, entre las que se incluyen las contenidas en: ● Normas sobre conducta segura, ● Normas internacionales, nacionales y de la industria, ● Obligaciones con asociaciones profesionales, ● Obligaciones con la admisión a cotización en la bolsa de valores, ● Procesamiento, aplicación de leyes o normas, multas y pautas para la imposición de la sentencia, ● Prácticas habituales en la industria, y ● Prácticas habituales en la zona geográfica y cultura nacional. A3.3.07 Identificar requerimientos internos explícitos y derivados estipulados en: la misión, visión y valores, el código de conducta, las políticas y los procedimientos establecidos. A3.4 IDENTIFICAR LAS INTERRELACIONES Y TENDENCIAS A3.4.01 Identificar cómo ha sido la tendencia en cuanto a probabilidad e impacto de cada evento en la entidad. A3.4.02 Identificar cómo ha sido la tendencia en cuanto a la probabilidad e impacto de cada evento en organizaciones similares y en la industria. A3.4.03 Identificar cómo cambian la probabilidad, la oportunidad y el impacto cuando ocurren eventos repetidos o correlacionados. A3.4.04 Llevar a cabo un análisis de alto nivel del riesgo/beneficio residual inherente, actual y planificado para que los elementos más relevantes sean priorizados en el futuro, un análisis más detallado. A3.4.05 Llevar a cabo un análisis de alto nivel del nivel de cumplimiento inherente, actual y planificado con los requerimientos, incluyendo un análisis económico bruto, para que los elementos más relevantes sean priorizados en el futuro, un análisis más detallado. A3.4.06 Identificar cualquier interrelación de las oportunidades, amenazas y requerimientos identificados. 74

A4 EVALUACIÓN Analizar los enfoques actuales y planificados para hacer frente a las oportunidades, amenazas y requerimientos utilizando el criterio para la toma de decisiones con métodos cualitativos y cuantitativos. A4.1 ANALIZAR EL RIESGO/BENEFICIO A4.1.01 Analizar la probabilidad de que un riesgo se materialice incluyendo la identificación de posibles: eventos individuales o múltiples, y eventos a corto o largo plazo. A4.1.02 Analizar la velocidad de impacto y fuerza una vez que se materializa el riesgo. A4.1.03 Analizar la relación de las amenazas con otras amenazas y riesgos establecidos. A4.1.04 Utilizar la historia de la entidad y empresas similares (tomando como base la industria, escala la zona geográfica, las actividades comerciales y el personal) para analizar la vulnerabilidad, considerando la probabilidad y el impacto. A4.1.05 Evaluar el nivel del riesgo/beneficio inherente, asumiendo la ausencia de acciones y controles relevantes. A4.1.06 Evaluar el nivel del riesgo/beneficio residual, asumiendo el riesgo/beneficio restante después de la aplicación de acciones y controles relevantes actuales en la entidad. Esto debe ser realizado inicialmente en elementos de alto riesgo/beneficio que excedan los niveles de tolerancia al riesgo estipulados. A4.1.07 Identificar y evaluar las acciones y controles actuales para hacer frente al riesgo/beneficio que: ● ACEPTAN el riesgo a nivel residual actual, ● EVITAN el riesgo y cesan las actividades (o cambian los requerimientos) que dan origen al riesgo, ● COMPARTEN el efecto u optimización del riesgo con otras entidades, incluido el uso de financiamiento del riesgo, o ● TRANSFIEREN el riesgo a otro socio comercial (por medio de negocios conjuntos o estructuras de financiamiento del riesgo), ● DISMINUYEN la probabilidad del riesgo implementando incentivos, controles y otras actividades que evitan o reducen la probabilidad que se realicen actividades que no se desean, o bien ● DISMINUYEN el impacto detectando y reaccionando más rápidamente frente la actividad que no se desea, o evitando riesgos al acelerar a niveles de alto impacto

A4.1.08 Identificar y evaluar las acciones y controles actuales para abordar el riesgo incluido el uso de: ● Incentivos de conducta deseada, ● Controles preventivos, de detección y correctivos para abordar conductas o hechos no deseados, ● Identificación y manejo de problemas, ● Actividades de monitoreo, ● Políticas y procedimientos, ● Programas de educación y sensibilización, y A4.1.09 Identificar y evaluar quién, y qué departamento, está a cargo de manejar cada acción y control, incluyendo: ● Funciones de línea, departamentos y el personal, ● Departamentos y personal de gestión de riesgo, ética y cumplimiento, ● Departamentos y personal de aseguramiento, y ● Supervisión (Consejo de Directores). A4.2 ANALIZAR EL CUMPLIMIENTO A4.2.01 Usar la información y registros históricos de la organización y los pares (basados en la industria, geografía, actividades del negocio y escala de mano de obra) para analizar la probabilidad e impacto de las violaciones de cumplimiento. A4.2.02 Evaluar el nivel del nivel inherente de cumplimiento, asumiendo la ausencia de acciones y controles relevantes. A4.2.03 Evaluar el nivel residual de cumplimiento, asumiendo la probabilidad e impacto de las violaciones de cumplimiento después de la aplicación de acciones y controles relevantes actuales en la entidad. A4.2.04 Identificar y evaluar las acciones y controles actuales para asegurar el cumplimiento (conforme con los requerimientos), incluyendo: ● Incentivos para conductas deseadas, ● Controles proactivos, de detección y correctivos para abordar eventos o conductas indeseadas, ● Identificación y gestión de problemas, ● Actividades de monitoreo, ● Políticas y procedimientos, y ● Programas de sensibilización y educación.

A4.2.05 Identificar y evaluar quien es el responsable de administrar cada acción y control, incluyendo: ● Funciones de línea, departamentos y el personal, ● Departamentos y personal de gestión de riesgo, ética y cumplimiento, ● Departamentos y personal de aseguramiento, y ● Supervisión (Consejo de Directores). A4.3 PRIORIZAR LA ADMINISTRACIÓN DE AMENAZAS, OPORTUNIDADES Y REQUERIMIENTOS A4.3.01 Identificar cualquier brecha y duplicaciones innecesarias en las acciones y controles, así como las duplicaciones y estratificación apropiadas. A4.3.02 Analizar el efecto de los modelos actuales sobre la probabilidad, oportunidad e impacto efecto de cada riesgo/beneficio. A4.3.03 Analizar el efecto de los modelos actuales sobre la probabilidad, oportunidad e impacto del cumplimiento de requerimientos. A4.3.04 Determinar el costo/beneficio de mantener acciones y controles actuales, considerando su efectividad operativa actual. A4.3.05 Determinar si el nivel de riesgo/beneficio actual y el cumplimiento de los requerimientos es aceptable basado en los límites administrativos y el criterio para la toma de decisiones definido. A4.3.06 Determinar las áreas donde no se abordan los requerimientos o no se cumple con los niveles establecidos de conformidad. A4.3.07 Identificar riesgos, beneficios y requerimientos que requieren ser priorizados para mejorar o agregar acciones o controles adicionales, entre los que se incluye: ● Cuando el riesgo residual actual no es aceptable tomando como base el apetito de riesgo que presenta la entidad, ● Cuando el riesgo residual actual no es aceptable y se requiere tomar una medida inmediata, ● Cuando las acciones y controles actuales son ineficaces, contradictoriamente eficaces o ineficientes, ● Cuando un riesgo inherentemente alto exige medidas y controles que deben ser monitoreados constantemente, y ● Cuando los riesgos, beneficios o requerimientos requieren planes de reacción frente a una crisis, como por ejemplo violencia en el lugar de trabajo, desastres naturales y problemas importantes relacionados con el prestigio.

A4.3.08 Asegurar que los riesgos/beneficios inherentemente altos se aborden de manera específica, ya que cualquier interrupción en las acciones o controles existentes pueda generar un impacto importante en la entidad.

A5 DISEÑAR Desarrollar planes estratégicos y tácticos para el logro de los objetivos estipulados, mientras se aborda la incertidumbre y actuando con integridad, consistente con el criterio para la toma de decisiones. A5.1 EXPLORAR LAS OPCIONES PARA ABORDAR LOS REQUERIMIENTOS A5.1.01 Cuando el nivel actual de cumplimiento de requerimientos no es aceptable, o cuando las acciones y controles existentes no son las óptimas, explorar acciones y controles adicionales para abordar los requerimientos. A5.1.02 Diseñar acciones y controles para abordar las brechas y duplicaciones innecesarias sobre la forma como se abordan los requerimientos. A5.1.03 Analizar el costo/beneficio de las acciones y controles propuestos para asegurar que los enfoques seleccionados son apropiados dado la probabilidad de no-cumplimiento y el impacto de su ocurrencia, para que los presupuestos sean adecuadamente asignados para todas las necesidades de cumplimiento. A5.2 EXPLORAR LAS OPCIONES PARA ABORDAR EL RIESGO/BENEFICIO A 5.2.01 Cuando el riesgo residual actual es inaceptable o cuando se puede mejorar el enfoque actual, examinar acciones y controles alternativos para abordar el riesgo/beneficio, aplicando el criterio para la toma de decisiones. A5.2.02 Evaluar y seleccionar las acciones y controles para aceptar, evadir, compartir, transformar o reducir el riesgo, incluyendo la transferencia e instrumentos de financiación del riesgo y enfoques, consistente con el apetito, tolerancia y capacidad de riesgo definidos. A5.2.03 Evaluar y seleccionar medidas y controles incluidos los que evitan, detectan y reaccionan ante hechos y condiciones que no se desean. A5.2.04 Diseñar una metodología por capas para evitar la “tendencia hacia una sola respuesta” al abordar riesgos/beneficios de alto impacto. A5.2.05 Identificar áreas donde las acciones y controles puedan abordar más de un riego/beneficio y requerimientos – controles con propósitos duales. A5.2.06 Diseñar actividades de optimización para que generen información que pueda utilizarse para monitorear. 78

A5.2.07 Si la alternativa básica para la optimización de riesgos para uno en particular demorará un tiempo para implementarse, definir las alternativas interinas de optimización de riesgos, entre las que se incluye considerar retrasar lo que genera el riesgo. A5.2.08 Estimar el costo relacionado con las actividades de optimización de riesgos planificadas y determinar si el costo es apropiado, considerando la priorización de riesgos/beneficios y el nivel de optimización de los mismos. A5.3 DISEÑAR ESTRATEGIAS DE FINANCIACIÓN Y TRANSFERENCIA DEL RIESGO A5.3.01 Revisar los resultados del análisis y evaluación de riesgos para determinar cuáles deberían abordarse sólo con las alternativas de financiamiento. A5.3.02 Revisar el riesgo residual, luego de la aplicación de controles internos, para identificar los riesgos que requieren de financiamiento como respaldo frente a los controles aplicados. A5.3.03 Identificar las alternativas de tipos de financiamiento de riesgos que sean apropiados para cada riesgo/beneficio identificado. A5.3.04 Determinar las alternativas disponibles para compartir riesgos. A5.3.05 Determinar los requerimientos o políticas que impiden el uso de un instrumento o modelo en particular para compartir riesgos, en el caso de determinados tipos de riesgos/beneficios. A5.4 DISEÑAR ESTRATEGIAS DE FINANCIACIÓN Y TRANSFERENCIA DE RIESGOS A5.4.01 Seleccionar los riesgos/beneficios que se van a asegurar o transferir a otros, y construir indemnizaciones, asignaciones, garantía u otro lenguaje contractual que transfiere o distribuye el riesgo a otras partes a través de contratos. A5.4.02 Asignar la responsabilidad al rendir cuentas sobre mantener el cumplimiento de requerimientos para cada modelo de financiación. A5.5 DETERMINAR EL RIESGO/BENEFICIO Y CUMPLIMIENTO RESIDUAL PLANEADO A5.5.01 Evaluar el riesgo/beneficio residual planificado que se prevé cuando se instauren las acciones y controles propuestas. A5.5.02 Si no es aceptable el riesgo/beneficio residual planificado, reconsiderar las acciones y controles. A5.5.03 Si es aceptable el riesgo/beneficio residual planificado, implementar las acciones y controles seleccionados. 79

A5.5.04 Analizar los costos y beneficios de las acciones y controles planificados. A5.6 ABORDAR LOS RIESGOS INHERENTEMENTE ALTOS A5.6.01 Identificar las acciones y controles que actualmente se encuentran instauradas o planificadas para abordar los riesgos inherentes altos. A5.6.02 Diseñar otras actividades de monitoreo para asegurar que estas acciones y controles sigan siendo eficaces y funcionen según lo planeado. A5.6.03 Agregar a la matriz de riesgos priorizados las acciones y controles de optimización de riesgo planificados y el análisis de riesgo residual planificado. A5.6.04 Incluir los riesgos inherentemente altos en los planes de aseguramiento. A5.7 ESTABLECER INDICADORES CLAVE A5.7.01 Identificar los indicadores de desempeño (KPI) de cada objetivo. A5.7.02 Identificar los indicadores de conformidad (KCI) de cada exigencia. A5.7.03 Identificar los indicadores de riesgo (KRI) de cada riesgo o categoría de riesgo clave. A5.7.04 Identificar los umbrales de cada indicador que pone en marcha: ● Reporte a instancias superiores, ● Medida correctiva. ● Reevaluación de las metodologías. A5.7.05 Asignar responsabilidad de rendir cuentas para monitorear en forma periódica o continua cada indicador clave establecido. A5.7.06 Diseñar informes y tableros de control para informar al personal pertinente sobre los valores y cambios de los indicadores. A5.8 DEFINIR LA ESTRUCTURA PARA LA GESTIÓN DE LA INFORMACIÓN A5.8.01 Determinar las definiciones, clasificaciones y procedimientos necesarios para identificar y administrar la información en la organización y la empresa extendida, como parte de un plan para la gestión de la información. A5.8.02 Definir y mantener un programa y metodología para la clasificación.

A5.8.03 Definir un proceso continuo para inventariar y clasificar la información, el cual incluya características como: ● El tipo, ● La exigencia de privacidad, ● La exigencia de confidencialidad, ● La exigencia de conservación, ● La exigencia de retención, ● La exigencia de eliminación, ● La exigencia de disponibilidad, ● El valor operativo/estratégico, ● El propietario de los datos, ● La fuente de información (base de datos/aplicación, correo electrónico, Excel, etc.), ● Los procesos de negocio relacionados y ● Las políticas relacionadas. A5.8.04 Considerar periódicamente los cambios en la estructura de clasificación y sus definiciones, y clasificaciones implícitas, para disminuir las necesidades futuras de conciliación. A5.8.05 Definir las políticas y procedimientos de la gestión de la información. A5.9 DESARROLLAR LA ARQUITECTURA TECNOLÓGICA A5.9.01 Identificar los procesos y controles clave que son menos propensos a los errores y más eficientes si se los habilita con tecnología. A5.9.02 Comprender el ambiente tecnológico que ya existe. A5.9.03 Correlacionar los requerimientos de funcionalidad con las capacidades que ya existen. A5.9.04 Identificar las redundancias en las soluciones tecnológicas que ya existen. A5.9.05 Identificar los requerimientos funcionales que no se cumplen. A5.9.06 Determinar y priorizar qué soluciones tecnológicas deben compartir información o crear y almacenar información fácilmente combinada o comparada. A5.9.07 Decidir qué soluciones que ya existen pueden y deberían mejorarse o ampliarse para satisfacer necesidades similares en otras partes de la entidad. A5.9.08 Decidir qué soluciones nuevas deberían complementar o reemplazar las que ya existen, y decidir si crear o comprar soluciones nuevas identificadas.

A5.10 CREAR UN PLAN INTEGRADO A5.10.01 Identificar oportunidades para consolidar actividades en menos acciones y controles. A5.10.02 Identificar oportunidades para incluir las actividades de gestión y cumplimiento de riesgo en los procesos del negocio. A5.10.03 Identificar oportunidades para utilizar los programas, proyectos, procesos y recursos (personas, presupuestos y tecnología) existentes antes de crear estructuras nuevas. A5.10.04 Definir iniciativas que aborden las correspondientes actividades de optimización de riesgos en forma coordinada. A5.10.05 Establecer un cronograma para implementar cada iniciativa de acciones y controles. A5.10.06 Asignar responsabilidades de rendir cuentas a cada iniciativa y para monitorear los eventos que pueden requerir cambios en las iniciativas. A5.10.07 Obtener la aprobación y los recursos necesarios para cada iniciativa. A5.11 HABILITAR LA EJECUCIÓN A5.11.1 Incluir un plan de cambio administrativo para asegurar que los planes estratégicos y tácticos están implementados A5.11.2 Obtener la aprobación y apoyo de la gerencia para cada iniciativa.

DESEMPEÑAR P1 CONTROLES Establecer una combinación de procesos, recurso humano, tecnología, administración y acciones y controles físicos que satisfacen necesidades de gobierno, gestión y aseguramiento. P1.1 ESTABLECER ACCIONES Y CONTROLES PROACTIVOS P1.1.01 Establecer actividades preventivas para el control de actividades que se exijan según requerimientos compromisos voluntarios u obligatorios, entre las que se incluyen: ● Aprobaciones ● Autorizaciones ● Revisiones antes de envío/presentación ● Revisiones de calidad P1.1.02 Para cada actividad de control de procesos preventiva: ● Definir quién realizará la actividad ● Definir cuándo y con qué frecuencia se llevará a cabo la actividad ● Identificar a las personas con autoridad apropiada para modificar o invalidar actividades preventivas para el control de procesos. P1.1.03 Para cada actividad de control de procesos preventiva, establecer la sensibilización, capacitación y apoyo apropiado para el personal encargado. P1.1.04 Determinar la necesidad de evaluar o certificar al personal encargado para garantizar que pueden realizar actividades preventivas para el control de los procesos. P1.1.05 Establecer un método para evaluar periódicamente la eficacia de cada actividad preventiva para el control de los procesos. P1.1.06 Para cada procedimiento, definir una metodología de pruebas y las correspondientes actividades de monitoreo para asegurar que el procedimiento está funcionando eficazmente dentro de las tolerancias definidas. P1.1.07 Definir procedimientos y la responsabilidad de rendir cuentas para las excepciones a las actividades de control de procesos. P1.1.08 Determinar qué actividades de control de procesos preventivas deberían establecerse en la empresa extendida.

P1.1.09 Determinar la necesidad para el monitoreo continuo de control basado en la evaluación de riesgos. P1.1.10 Crear un vocabulario común para describir los tipos de controles para la tecnología. P1.1.11 Establecer controles preventivos para la tecnología, entre los que se incluyen: ● ● ● ●

Controles de acceso a aplicaciones que limiten el acceso a sistemas, aplicaciones y repositorios de información, Controles de acceso físico que limiten el acceso a componentes físicos de tecnología, como por ejemplo redes, servidores y estaciones de trabajo, Controles de configuración que eviten o restrinjan cambios que se realicen a las configuraciones de hardware, sistemas y aplicaciones, Controles de datos originales que eviten o restrinjan los cambios que se realicen a la información que se encuentra almacenada.

P1.1.12 Establecer controles físicos preventivos para cumplir con los requerimientos obligatorios, para proteger la salud y seguridad de las personas, las condiciones medioambientales y los recursos físicos clave entre los que se incluyen las instalaciones y los equipos. P1.1.13 Establecer mecanismos (electrónicos o con personas) para monitorear la entrada y salida en áreas alta seguridad. Proporcionar la protección que es necesaria para la privacidad y notificación de la vigilancia donde una política exija o determine que es apropiado P1.1.14 Establecer mecanismos para hacer un seguimiento de la ubicación de bienes o existencias de alto valor para detectar su traslado no autorizado (por ejemplo, sistemas de identificación por radiofrecuencia). P1.1.15 Definir las descripciones de cargos y funciones para todas las funciones clave, incluyendo funciones que deberían segregarse para evitar conflictos de interés. P1.1.16 Definir una metodología para verificar los antecedentes de los empleados, ejecutivos y personal que se contrata o asciende a posiciones con autoridad considerable y para evaluar su conducta pasada, entre lo que se incluye: ● Determinaciones de cualquier historial de transgresiones a la ley o conducta antiética, ● Qué tan recientemente han ocurrido las transgresiones o instancias de conducta antiética, ● Cómo se relacionan las transgresiones o conductas con el aspecto que preocupa del cargo de autoridad propuesto, ● Características de las transgresiones o conducta antiética, ● Conflictos de interés y ● Compatibilidad de los valores personales con los de la entidad. 84

P1.1.17 Realizar verificaciones de antecedentes de las personas contratadas, ascendidas o trasladadas a funciones con autoridad considerable y archivar el resultado de las verificaciones de candidatos. P1.1.18 Utilizar sistemáticamente listas de verificación en las entrevistas que sondeen indicadores de comportamiento que sean compatibles con los principios y valores de la entidad, al igual que la conducta y la toma de decisiones ética y antiética. P1.2 ESTABLECER ACCIONES Y CONTROLES DE DETECCIÓN P1.2.01 Establecer acciones de gestión que eviten hechos indeseables, entre las que se incluyen políticas, procesos, estructuras organizacionales, tecnología y otras. P1.2.02 Establecer acciones de gestión que incentiven hechos deseables, entre las que se incluyen políticas, procesos, estructuras organizacionales, tecnología y otras. P1.2.03 Establecer controles que aseguren que las acciones de gestión se diseñan y funcionan en forma eficaz. P1.2.04 Establecer controles de detección en procesos tomando como base el análisis de transacciones financieras por frecuencia, envergadura, ubicación y otros factores que pueden indicar conductas antiéticas, fraudulentas o de incumplimiento. P1.2.05 Establecer controles de detección tomando como base el monitoreo de movimientos y usos de recursos físicos que pueden indicar conductas poco éticas, fraudulentas o de incumplimiento. P1.2.06 Como lo garantiza el análisis de riesgos, definir los controles apropiados para el monitoreo continuo. P1.2.07 Utilizar una lista de chequeo de verificación para la revisión del desempeño de los individuos que: ● Consulte si el individuo ha observado conductas indebidas mientras ha estado contratada, ● Indague sobre sospechas de conductas indebidas u oportunidades para llevar una conducta de esa índole, ● Indague sobre opiniones respecto a la eficacia de la capacidad y las debilidades aparentes, ● Determine las opiniones sobre la entidad, la administración y los supervisores inmediatos, y ● Determine la confianza en el compromiso que tiene la entidad con los valores y políticas establecidos. 85

P1.2.08 Utilizar una lista de chequeo de verificación para la entrevista de retiro de personas que: ● Compruebe que se devolvieron todos los bienes de la entidad, ● Consulte si la persona observó o sospechó de algún incumplimiento, conducta antiética, respuesta poco equitativa o prejuiciosa, o conducta indebida, riesgos que no se controlan, etc., ● Indague sobre opiniones respecto a la eficacia de GRC y las debilidades aparentes, ● Determine opiniones de la persona que sale sobre la entidad, la Administración y los supervisores inmediatos, y ● Aconseje cómo informar inquietudes o problemas después de su desvinculación P1.2.09 Establecer mecanismos de vigilancia (cámaras o personal) en áreas de alta seguridad o amenaza (por ejemplo, almacenamiento de materiales peligrosos, lugares donde se ubican los servidores, estacionamientos apartados, etc.) para detectar sobornos, violencia, robos, etc. P1.2.10 Establecer mecanismos (electrónicos o con personas) para monitorear la entrada y salida en áreas alta seguridad. P1.2.11 Proporcionar la protección que es necesaria para la privacidad y notificación de la vigilancia donde una política exija o determine que es apropiado. P1.2.12 Establecer sistemas de alarmas silenciosas, audibles o visuales para comunicar la detección de transgresiones a los controles preventivos y emergencias. P1.2.13 Establecer mecanismos para hacer un seguimiento de la ubicación de bienes o existencias de alto valor para detectar su traslado no autorizado (por ejemplo, sistemas de identificación por radiofrecuencia). P1.2.14 Utilizar mecanismos para detectar la presencia o ausencia de condiciones medioambientales que quedan fuera de los objetivos o umbrales aceptables (por ejemplo, detectores de humo, sensores de productos químicos, monitores de emisiones, sistemas para el monitoreo de la calidad del agua, termostatos de refrigeración, sensores para la presión de sello al vacío, etc.). P1.2.15 Establecer mecanismos para detectar la presencia o ausencia de personal y visitas en las dependencias de la entidad, para determinar la necesidad de intentar rescatar a dichas personas, comunicarse con su familia u otro tipo de reacción. P1.2.16 Utilizar mecanismos (distintivos electrónicos o manuales) para distinguir entre el personal, las visitas y personas desconocidas en las dependencias de la entidad, de manera que las personas o sistemas puedan detectar la presencia o actividades inapropiadas o no autorizadas. 86

P1.2.17 Monitorear los indicadores tecnológicos de controles de detección para identificar conducta indebidas potenciales o efectivas o incumplimiento, incluido lo que corresponde a: ● Acceso físico y vigilancia, ● Controles de acceso a sistemas, ● Controles a datos maestros, ● Controles para las transacciones, ● Controles operativos, ● Pistas de auditoría y análisis de registros, ● Actividades de pruebas, ● Informes sobre el rendimiento y ● Avance y estado de las iniciativas, y emisión de informes de riesgo. P1.3 ESTABLECER ACCIONES Y CONTROLES DE RESPUESTA P1.3.01 Establecer acciones y controles correctivos que desaceleren y disminuyan el efecto de las conductas, hechos y condiciones indeseables. P1.3.02 Establecer acciones y controles que aseguren que las oportunidades identificadas son evaluadas y abordadas. P1.3.03 Establecer acciones y controles correctivos que aborden las debilidades de la capacidad que permitieron que ocurrieran conductas, hechos y condiciones indeseables y que en un futuro promueven aspectos que conducen a resultados positivos. P1.3.04 Establecer acciones y controles correctivos que castiguen las conductas indeseables, retribuyan las conductas deseables y que disuadan futuros eventos adversos. P1.3.05 Establecer los controles para suspender la autoridad del personal que participa o está relacionado con eventos adversos. P1.3.06 Establecer acciones y controles sobre la modificación o evasión de las estructuras para denunciar, una vez que se detectan los eventos adversos. P1.3.07 Establecer procedimientos que conformen equipos de actividades correctivas una vez se detecten los eventos adversos. P1.3.08 Establecer un modelo de monitoreo con responsables definidos para asegurar que se realicen las actividades de control correctivo. P1.3.09 Establecer informes e identificar receptores pertinentes que sean notificados cuando se realicen y finalicen las actividades de control correctivo.

P1.3.10 Establecer controles que aseguren y restrinjan el acceso a los bienes físicos pertinentes, así como controles de acceso físico a edificios y dependencias pertinentes, una vez que se detectan eventos adversos. P1.3.11 Establecer controles para detener o frenar el impacto de eventos adversos sobre las personas y activos físicos.

P2 POLÍTICAS Implementar políticas y procedimientos asociados para abordar oportunidades, amenazas y requerimientos y fijar expectativas de conducta para el Consejo de Directores, la fuerza de trabajo y la empresa extendida. P2.1 ELABORAR EL CÓDIGO DE CONDUCTA P2.1.01 Definir una metodología sistemática para elaborar y evaluar periódicamente y actualizar el código de conducta P2.1.02 Elaborar el código de conducta con la participación de las partes interesadas que representan varios niveles de autoridad dentro de la entidad. P2.1.03 Elaborar todos los códigos de conducta que exigen los requerimientos legales o de otra índole, o bien uno que aborde todas esas requerimientos. P2.1.04 Identificar a las partes interesadas (incluidos aquellos cuyo comportamiento puede afectar la integridad de la entidad) que son los destinatarios del código de conducta. P2.1.05 Establecer procedimientos para la globalización y localización del código de conducta que consideren temas locales, y al mismo tiempo de conserven el mensaje pretendido de la administración. P2.1.06 Correlacionar el código de conducta con las fuentes de requerimientos, principios y valores. P2.1.07 Si hay más de un código de conducta, asegurarse de la consistencia entre el lenguaje, la intención y el contenido. P2.1.08 Contar con expertos idóneos que revisen el código de conducta y la metodología de implementación para el cumplimiento de los reglamentos. P2.1.09 Contar con responsables pertinentes de las políticas que aprueben el código de conducta y la metodología de implementación, para confirmar la adherencia a los principios.

P2.1.10 Priorizar los asuntos abordados en el código de conducta tomando como base el análisis de riesgos. P2.1.11 Incluir una declaración de respaldo de parte del Consejo de Directores y la alta gerencia. P2.1.12 Abordar las metas y filosofía del código de conducta y cómo se alinean con la misión, visión y valores globales de la entidad. P2.1.13 Como mínimo, disponer que el código de conducta aborde o referencie políticas que aborden: ● El cumplimiento de todas las leyes y normas vigentes, ● La tolerancia cero a la corrupción, ● Los conflictos de interés, ● El uso apropiado de la propiedad, información y oportunidades de la entidad, ● El tratamiento justo en transacciones comerciales, ● La transparencia, oportunidad y precisión de la información al mercado y la emisión de informes normativos, ● El reporte oportuno de denuncias internas, ● La responsabilidad de rendir cuentas y adherencia a las disposiciones del código, ● El abuso de sustancias ilícitas, ● Los aportes y actividades políticas, ● La importancia de los valores y principios éticos en la toma de decisiones, ● La importancia de formular preguntas y plantear problemas cuando existe preocupación, ● Cómo denunciar conductas indebidas, ● Cómo denunciar incidentes y formular preguntas, y ● Una garantía de no represalia por denunciar incidentes. P2.1.14 Definir un procedimiento para renunciar y salirse del código de conducta. P2.1.15 Elaborar un plan de lanzamiento para distribuir el código de conducta. P2.1.16 Antes de implementar el código de conducta, capacitar al personal de la mesa de ayuda y a otros que están designados para responder consultas sobre su contenido. P2.1.17 Distribuir el código de conducta a todos las partes interesadas que se tienen como objetivo. P2.1.18 Confirmar que las partes interesadas objetivo seleccionados recibieron el código de conducta.

P2.1.19 Diseñar y aportar capacitación y comunicaciones para reforzar, continuamente, el código de conducta. P2.1.20 Asegurarse que se revele el código de conducta al público y se encuentre a disposición de las partes interesadas externas (por ejemplo, publicarlo en Internet). P2.1.21 Revelar, informar o archivar el código de conducta como lo exijan los requerimientos legales. P2.1.22 Incluir los criterios relacionados con el código de conducta en los criterios estándar para la evaluación del desempeño individual. P2.1.23 Determinar el alcance de la aplicación del código de conducta en la empresa extendida. P2.1.24 Estar preparado para generar evidencia del conocimiento, apoyo y comprensión del código de conducta. P2.1.25 Asegurarse que las partes interesadas críticas comprenden el código de conducta (por medio de alguna forma de evaluación, certificación, comunicación o capacitación). P2.1.26 Establecer la adherencia al código de conducta o a uno similar, como una condición de hacer negocios para los proveedores y otros socios clave. P2.2 ESTABLECER LA ESTRUCTURA DE POLÍTICAS P2.2.01 Elaborar una lista de políticas exigidas por requerimientos, normas vigentes y compromisos voluntarios. P2.2.02 Elaborar una lista de políticas deseadas tomando como base decisiones internas. P2.2.03 Elaborar una lista de las políticas que ya existen. P2.2.04 Determinar las redundancias y duplicaciones en las políticas que ya existen, incluyendo el código de conducta. P2.2.05 Realizar un análisis de brechas en comparación con las políticas que ya existen. P2.2.06 Establecer la metodología para crear, modificar y aprobar las políticas. P2.3 IDENTIFICAR Y ELABORAR POLÍTICAS P2.3.01 Asegurarse que sólo las personas con autoridad apropiada emitan y modifiquen políticas. 90

P2.3.02 Definir el objetivo de cada política. P2.3.03 Definir el público objetivo para cada política. P2.3.04 Contar con los especialistas idóneos que aprueben las políticas que deben cumplir con requerimientos. P2.3.05 Comprender los elementos del modelo de negocio que se ven afectados por cada política. P2.3.06 Definir cuándo revisar, retomar, modificar o anular cada política. P2.3.07 Definir los recursos necesarios para la introducción, implementación o aplicación de cada política. P2.3.08 Determinar qué políticas se debe imponer en la empresa extendida y cuales se exigirán a los socios de negocio. P2.3.09 Traducir o localizar las políticas cuando se determina que es necesario. P2.3.10 Correlacionar o identificar las políticas interrelacionadas o dependientes, de manera que la administración pueda comprender cómo cambiando una puede afectarse otra. P2.3.11 Diseñar plantillas para varios tipos de políticas. P2.4 IMPLEMENTAR Y ADMINISTRAR POLÍTICAS P2.4.01 Determinar cómo poner a disposición de cada público objetivo cada política. P2.4.02 Determinar si se necesita una capacitación o testeo del público objetivo para cada política. P2.4.03 Aportar políticas al público objetivo. P2.4.04 Confirmar y documentar el recibo de las políticas por parte del público objetivo. P2.4.05 Definir qué prácticas de sensibilización, educación y apoyo deberían estar instauradas para cada política y público objetivo. P2.4.06 Definir los métodos de evaluar los conocimientos de la existencia y comprensión de cada política por parte de los públicos objetivo. P2.4.07 Definir el procedimiento para notificar a la mesa de ayuda sobre cambios, modificaciones o anulación de políticas. 91

P2.4.08 Establecer un método para evaluar periódicamente la eficacia de cada política respecto al cumplimiento de un requerimiento u objetivo al cual está destinada abordar. P2.5 APOYAR LAS POLÍTICAS P2.5.1 Obtener el apoyo y compromiso de la administración sobre las políticas. P2.5.2 Garantizar que la administración demuestre el apoyo por las políticas tanto en palabra y acción, para que las partes interesadas vean el verdadero compromiso con las políticas de la administración. P2.6 DESARROLLAR E IMPLEMENTAR LAS DIRECTRICES PARA LA TOMA DE DECISIONES ÉTICAS P2.6.01 Elaborar lineamientos para la toma de decisiones de forma ética con la participación de las partes interesadas que representan los distintos niveles de autoridad dentro de la entidad. P2.6.02 Elaborar lineamientos para la toma de decisiones de forma ética con la participación de las partes interesadas que representan la variedad de las culturas (subculturas) que existen en toda la entidad. P2.6.03 Identificar los factores éticos y culturales que se deben considerarse al tomar una decisión, entre los que se incluye: ● Consistencia con la misión, visión y valores de la entidad; ● Cumplimiento con los requerimientos de la entidad; ● Consideración de todos los puntos de vista pertinentes; ● Integridad de todos los hechos necesarios para tomar una decisión; ● Coherencia con el comportamiento histórico de la entidad y las decisiones futuras previstas en circunstancias parecidas; ● Comodidad con que otros se enteren de quien tomó la decisión; ● Consideración de las probables repercusiones y reacciones de las partes interesadas, personas influyentes o el público; y ● Prever la crítica por medio de una explicación clara y convincente. P2.6.04 Incluir una declaración de apoyo por parte del Consejo de Directores y la alta gerencia. P2.6.05 Hacer los lineamientos para la toma de decisiones de forma ética accesibles al personal y toda la empresa, junto con los recursos e información complementarios sobre cómo involucrar a terceros para obtener mayor información. P2.6.06 Aportar la sensibilización y capacitación necesaria sobre cómo obtener, solicitar y asegurar una mayor información sobre los lineamientos para la toma de decisiones éticas, en forma simultánea y compatible con las comunicaciones y educación sobre el o los códigos de conducta, políticas y procedimientos. 92

P2.6.07 Establecer procedimientos para la globalización y localización de los lineamientos para la toma de decisiones de forma ética, que consideren temas locales y necesidades en el lenguaje, al mismo tiempo de conservar los factores pretendidos relativos a la toma de decisiones de la administración.

P3 COMUNICACIÓN Entregar y recibir información relevante, confiable y oportuna al público objetivo adecuado como ha sido requerido por los mandatarios, o por la necesidad de desempeñar responsabilidades y actitudes de forma efectiva. P3.1 DESARROLLAR UN PLAN DE REPORTE P3.1.01 Identificar informes externos exigidos por los reguladores y otras partes interesadas, y crear una matriz que indique: ● Cronograma o hechos desencadenantes cada uno, ● El contenido que se exige, ● La ubicación o fuente del contenido que se exige, ● La persona u oficina encargada de preparar y presentar cada informe, ● La ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá, ● La retención de registros y las normas sobre protección, y ● El método para confirmar la entrega y recibo. P3.1.02 Definir informes internos que se necesitan para permitir que la entidad certifique que no existen transgresiones a los requerimientos o políticas, y aquellos necesarios para administrar la capacidad, y preparar una matriz que indique: ● Cronograma o hechos desencadenantes cada uno, ● El contenido que se exige, ● La ubicación o fuente del contenido que se exige, ● La persona u oficina encargada de preparar y presentar cada informe, ● La ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá, ● La retención de registros y las normas sobre protección, y ● El método para confirmar la entrega y recibo.

P3.1.03 Definir los informes voluntarios (no-mandatorios) adicionales para las partes interesadas crear una matriz que indique: ● Cronograma o hechos desencadenantes de cada informe, ● El contenido que se exige, ● La ubicación o fuente del contenido que se exige, ● La persona u oficina encargada de preparar y presentar cada informe, ● La ubicación o clasificación de cada copia de informe, ya que la entidad la retendrá, y ● La retención de registros y las normas sobre protección. P3.1.04 Definir políticas y procedimientos relativos a la revisión y resolución cuando los informes reflejan los objetivos y tolerancias externos de rendimiento. P3.1.05 Analizar la emisión de informes que ya existen y determinar discrepancias con los informes planificados y su manejo deseado. P3.2 ARQUITECTURA DE PROCESOS P3.2.01 Identificar la información y comunicaciones que se relacionar con procesos similares y dueños de controles para asegurar que cada individuo recibe las comunicaciones necesarias para desempeñarse en sus respectivas funciones. P3.2.02 Establecer una arquitectura de procesos de comunicaciones que cumplan con las necesidades de varios, pero relacionados entre sí, procesos y dueños de controles. P3.2.03 Asegurar que las comunicaciones se encuentran en un formato relevante para permitir a los dueños de procesos y controles realizar sus funciones y tomar acciones consistentes con el criterio para la toma de decisiones. P3.3 ELABORAR UN PLAN DE COMUNICACIÓN P3.3.01 Prepararse para elaborar un plan de comunicación de alto nivel: ● Definiendo el estado actual de conocimiento del público objetivo, ● Definiendo el estado futuro deseado, ● Analizar brechas, e ● Identificar áreas donde existe la probabilidad de resistencia al cambio. P3.3.02 Elaborar un plan de comunicación de alto nivel que identifique: ● Todos los mensajes clave identificando remitentes y públicos objetivo, ● Las distintas comunicaciones que aportará cada mensaje, y ● Los hechos desencadenantes y el cronograma de entrega de alto nivel.

P3.3.03 Determinar qué métodos y formatos de comunicación deberían utilizarse para cada categoría de mensaje, además de aplicar diversos métodos para mensajes clave y considerar el objetivo de la comunicación (educación, persuasión, información o entrevista) como por ejemplo: ● Papel, ● Porreo electrónico, ● Sitios web, ● Letreros, ● Reuniones en persona, ● Transmisión por video o audio, o bien ● Comunicación personal directa. P3.3.04 Para cada comunicación: ● ● ● ● ● ●

Elaborar el objetivo y contenido de la comunicación o mensaje, Obtener las autorizaciones que se exigen, Determinar quién responderá las preguntas, Determinar el o los métodos más eficaces de comunicación, Determinar la necesidad de comunicación redundante (frecuencia y tipo), Definir los métodos de comunicación básicos: ● Entre las funciones de la capacidad, ● Entre las funciones de la capacidad y las del negocio, y ● Entre las funciones de la capacidad y las partes interesadas externas.

P3.3.05 Definir las interdependencias de las comunicaciones y los mensajes, y cómo cada una encaja en el panorama global de otros de la entidad.

P4 EDUCACIÓN Educar al Consejo de Directores, administración, personal y toda la empresa sobre la conducta esperada, e incrementar la habilidad y motivación necesarias para ayudar a la entidad a abordar amenazas, oportunidades y requerimientos.

P4.1 DEFINIR UN PLAN DE SENSIBILIZACIÓN Y EDUCACIÓN P4.1.01 Definir un plan para que cada público objetivo tenga conocimiento general de la capacidad, sus responsabilidades y la conducta esperada; y como parte del plan: ● Considerar el alcance de la sensibilización requerida para toda la empresa, ● Considerar el nivel actual de conocimiento al diseñar el plan, ● Categorizar los contenidos: conocimientos generales versus específicos, o capacitación de mayor profundidad, ● Asegurarse que las personas sólo accedan a una capacitación que sea pertinente para su función o cargo, y ● Garantizar que el método de capacitación considere las diferencias culturales, generacionales y diferentes formas de aprendizaje en los públicos objetivo. P4.1.02 Preparar materiales que describan los elementos básicos de la capacidad, incluidos la misión, visión y valores implícitos de la entidad. P4.1.03 Determinar qué públicos objetivo necesitan más educación específica sobre aspectos determinados de la capacidad o políticas y procedimientos específicos. P4.2 DEFINIR UN PLAN DE ESTUDIO P4.2.01 Identificar los cursos de capacitación que se exigen desde un punto de vista legal, incluido: quién debe capacitarse, qué contenidos se deben cubrir, cuánto tiempo se debe dedicar al curso y cómo se medirá, y qué métodos se pueden utilizar. P4.2.02 Para cada curso que incluya contenidos legales o sobre políticas, correlacionar el objetivo con los requerimientos específicos de tipo legal, con las políticas y riesgos. P4.2.03 Definir las competencias requeridas para funciones y cargos específicos. P4.2.04 Correlacionar la serie de cursos exigidos y deseados para cada función y cargo. P4.2.05 Realizar una evaluación de las necesidades que identifique las relativas a capacitación obligatoria y las relacionadas a riesgos altos, y elaborar un plan de capacitación para cada cargo o grupo de cargos que detalle: ● Los objetivos de aprendizaje, ● Los módulos de capacitación, ● La duración de cada módulo de capacitación, ● El cronograma para realizar la capacitación, ● El cronograma y métodos para evaluar los conocimientos o habilidades, y ● La frecuencia de cada curso, incluidos los cursos de actualización. P4.2.06 Definir el plazo para capacitar a las personas recién contratadas, ascendidas o trasladadas respecto a sus nuevas funciones. 96

P4.2.07 Para cada objeto de aprendizaje, seleccionar los medios de capacitación adecuados considerando: ● El nivel actual de las habilidades que posee el público objetivo, ● El nivel deseado de las habilidades que posee el público objetivo, ● El tamaño total y la distribución geográfica del público, y ● Los recursos y capacidad técnica actuales para ejecutar la capacitación. P4.3 CREAR O ADQUIRIR CONTENIDOS P4.3.01 Inventariar todos los mensajes de sensibilización, capturar la información relevante y compararlos con las comunicaciones de sensibilización y educación deseadas. P4.3.02 Inventariar todos los cursos presenciales, por Internet, de auto-estudio, y los provistos por empresas de capacitación; capturar la información relevante y compararlos con los cursos deseados. P4.3.03 Preparar un plan para crear los contenidos para llenar vacíos que existan en el inventario de los cursos. P4.3.04 Emplear personas calificadas para crear módulos de capacitación, incluidas, si procede, profesionales de la educación y especialistas. P4.3.05 Adaptar los contenidos a la capacidad de comprensión de la audiencia. P4.4 IMPLEMENTAR LA CAPACITACIÓN P4.4.01 Integrar la capacitación de la capacidad a otras capacitaciones existentes, si es posible. P4.4.02 Utilizar la tecnología para impulsar, ejecutar y medir la educación y el nivel de sensibilización. P4.4.03 Preparar a la mesa de ayuda para responder consultas sobre el acceso y los contenidos de la capacitación. P4.4.04 Distribuir comunicaciones y dictar cursos a las audiencias de acuerdo con el plan. P4.4.05 Aportar capacitación a potenciales nuevos líderes y líderes recién ascendidos sobre: ● La toma de decisiones responsable, ● Cómo la integridad y la conducta empresarial responsable se vinculan con los objetivos de la entidad, y ● Cómo comunicar sobre la integridad y su efecto en el desempeño de la entidad. P4.4.06 Capacitar a todos los empleados sobre la toma de decisiones responsable. 97

P4.4.07 Confirmar que se ejecutó, se asistió y se finalizó la capacitación. P4.4.08 Evaluar los conocimientos, la competencia y las habilidades cuando sea requerido, respecto a la formación para abordar riesgos significativos. P4.4.09 Medir el avance de la capacitación en comparación con el correspondiente plan. P4.4.10 Revisar la matriz de riesgos priorizados y el plan de optimización de riesgos para reflejar: ● Las iniciativas de sensibilización y educación implementadas ● Análisis de riesgo residual actual revisado ● Desempeño versus riesgo residual planificado. P4.5 PROPORCIONAR UN CANAL DE CONSULTAS (HELPLINE) P4.5.01 Definir la metodología y la política del canal de consultas (helpline), incluida la funcionalidad de formular consultas a un supervisor (u otra vía interna) en primer lugar, o bien al canal primario (esto puede diferir según el tipo de tema). P4.5.02 Definir si el canal de consultas (helpline) y el canal de denuncias (hotline) están combinados o separados. P4.5.03 Determinar si la persona que llama debe o puede quedar en el anonimato o se le asegura la confidencialidad, lo cual en algunas circunstancias puede generar una atmósfera de mayor confianza y franqueza. P4.5.04 Establecer un proceso para determinar sí una consulta se origina por observaciones o por la creencia que ha habido un incumplimiento o conducta indebida, incluido: ● Si las inquietudes o suposiciones sobre incumplimiento o conducta indebida se expresan directamente o después de investigar el motivo de una consulta; determinando si son lo bastante específicas y convincentes para actuar, ● Obtener toda la información que sea posible para colaborar en el proceso de categorizar el tema dentro de los niveles de investigación establecidos, y ● Después de obtener la información básica, reorientar el proceso hacia al canal de denuncias (hotline) si se ha identificado un problema que constituye un reporte. P4.5.05 Aportar al personal del canal de consultas (helpline) una lista de preguntas y respuestas frecuentes. P4.5.06 Proveer al canal de consultas (helpline) de personal que esté bien capacitado para responder o buscar apoyo para responder a variadas consultas previstas que se relacionan con la capacidad y sus requerimientos.

P4.5.07 Establecer un método para registrar las consultas y respuestas, en que se indique la resolución final. P4.6 PROPORCIONAR APOYO INTEGRADO P4.6.01 Asegurarse que los supervisores y el personal de la capacidad que participan dentro del negocio pueden responder a las consultas sobre autoridad, responsabilidades y temas relacionados con cumplimiento, ética y riesgo. P4.6.02 Informar a los empleados sobre quién está disponible dentro de su lugar de trabajo para responder las consultas sobre autoridad, responsabilidades y temas relacionados con cumplimiento, ética y riesgo. P4.6.03 Preparar y dejar a disposición materiales de “autoayuda” que los empleados y otros agentes puedan utilizar para responder consultas, sin necesitar la interacción con otras personas. P4.6.04 Aportar recursos de autoservicio (electrónicos o de otro tipo) para ayudar a las personas a responder sus consultas.

P5 INCENTIVOS Implementar incentivos que motiven conductas deseables y reconocer aquellos que contribuyen a resultados positivos para reforzar las conductas deseadas. P5.1 DEFINIR LA CONDUCTA DESEADA P5.1.01 Determinar los tipos de conducta deseada acorde con la misión, visión, valores y criterio para la toma de decisiones de la organización. P5.1.02 Establecer las definiciones, clasificaciones y procedimientos para identificar aquellos que exhiben la conducta deseada definida y contribuyen a resultados positivos en la organización. P5.1.03 Incluir como conducta deseada, la expectativa de que se notifique a la organización cuando los individuos identifiquen alegaciones o indicios de conductas indeseadas. P5.2 CONTRATAR Y ASCENDER A LOS EMPLEADOS, TOMANDO COMO BASE LAS EXPECTATIVAS DE CONDUCTA P5.2.01 Incorporar consideraciones éticas en: descripciones de cargos, decisiones sobre contrataciones, evaluación del desempeño de los empleados, decisiones sobre ascensos de los empleados, decisiones sobre remuneraciones y bonos a promotores y empleados, criterios sobre despidos, medidas disciplinarias

P5.2.02 Evaluaciones sobre el desempeño relativo a la conducta para cargos y funciones clave con responsabilidades relacionadas con la capacidad. P5.2.03 Incluir criterios relacionados con la capacidad en evaluaciones del desempeño junto con: comprensión de los valores, incidentes de conducta ética o supuestamente antiética, responsabilidades de cumplimiento relacionadas con el cargo. P5.2.04 Considerar la conducta ética como un factor positivo (y la antiética como negativo) al evaluar y ascender empleados y seleccionar promotores. P5.2.05 Definir un proceso de ascenso que considere el apoyo y logro de los objetivos de la capacidad, por parte de una persona. P5.3 ESTABLECER SUELDOS Y REMUNERACIONES QUE CONSIDEREN LAS EXPECTATIVAS DE CONDUCTA P5.3.01 Diseñar estructuras de remuneraciones y bonos que consideren y recompensen el cumplimiento del criterio para la toma de decisiones y la conducta ética en cualquier rol. P5.3.02 Evitar incentivos de remuneraciones o bonos que fomenten conductas indebidas. P5.3.03 Analizar planes de remuneraciones y bonos para cargos o funciones relacionadas a la generación de ingresos o bien funciones de índole financiera; y confirmar que no inducen a un comportamiento de incumplimiento o antiético. P5.3.04 Analizar los planes de remuneraciones y bonos para funciones clave, incluidas las que tienen autoridad considerable y confirmar que no inducen a un comportamiento de incumplimiento o antiético. P5.3.05 Analizar los presupuestos discrecionales o bonificaciones para todas las funciones, de manera que se confirme que no inducen a un comportamiento de incumplimiento o antiético. P5.3.06 Establecer retribuciones y otros incentivos para premiar modelos esperados de conducta y liderazgos. P5.3.07 Establecer incentivos que fomenten la denuncia de conductas indebidas, defectos o fallas de las capacidades. P5.3.08 Establecer premios, retribuciones y otros incentivos para reconocer a unidades de la entidad y promotores comerciales por la gestión ejemplar de su responsabilidad frente a la capacidad. P5.3.09 Establecer retribuciones y otros incentivos derivados de plantear sugerencias que mejoren las capacidades. 100

P5.3.10 Establecer retribuciones y otros incentivos por los aportes hechos por empleados, unidades de la entidad o promotores comerciales que generen menos incumplimientos, menos medidas coercitivas u otros desafíos externos para la organización. P5.3.11 Retribuir y reconocer al personal por la finalización exitosa de la capacitación interna, y el auto aprendizaje y mejoramiento continuo.

P6 NOTIFICACIÓN Proporcionar múltiples medios para reportar el progreso del logro de objetivos, y la ocurrencia actual o potencial de conductas indeseadas y deseadas, condiciones y eventos. P6.1 REUNIR NOTIFICACIONES P6.1.01 Utilizar múltiples canales para recolectar información: ● En persona, ● Por teléfono, ● Por correo, ● Por soluciones tecnológicas y ● Por Internet. P6.1.02 Hacer que algunos canales estén disponibles las 24 horas del día, los 7 días de la semana y los 365 días del año. P6.1.03 Definir el método y política de notificación, incluida la preferencia de informar a un supervisor (u otra vía interna) en primer lugar, o bien a través del canal de denuncias (hotline), en primera instancia (esto puede diferir según el tipo de tema, las costumbres y leyes locales). P6.1.04 Definir qué canales se ofrecerán utilizando recursos internos o externos. P6.1.05 Definir procedimientos para proteger el anonimato de los notificadores en jurisdicciones en donde se exige o permite. P6.1.06 Hacer que los mecanismos de notificación estén disponibles y asequibles a las diversas partes interesadas: ● Empleados, ● Agentes (contratar empleados que actúen en nombre de la entidad), ● Proveedores y clientes, y ● El público. P6.1.07 Comunicar la disponibilidad de los mecanismos de notificación al personal y otras partes interesadas. 101

P6.1.08 Definir los procedimientos para disminuir el rechazo de notificaciones iniciadas, incluido: ● Limitar o prohibir el tiempo de espera en las notificaciones telefónicas, ● Proporcionar la posibilidad de diversos idiomas y ● Capacitar a los receptores de notificaciones para tratar con respeto a las personas que informan. P6.1.09 Definir los procedimientos para proteger la confidencialidad de toda la información comunicada durante su ingreso. P6.1.10 Obtener las aprobaciones o permisos internos y externos indispensables para el modelo definido. P6.1.11 De conformidad con las costumbres y leyes locales, crear una política, en forma separada o como parte del código de conducta, que exija a los empleados utilizar uno de los mecanismos de notificación, si detectan o saben de alguna mala conducta. P6.1.12 Definir, una política, en forma separada o como parte del código de conducta, que estipule que la entidad no ejercerá represalias en contra de las personas que notifiquen sobre conductas indebidas o fallas de la capacidad. P6.1.13 Documentar la indagación o problema con un sistema o método, y que se tenga en cuenta realizar un análisis de seguimiento posterior. P6.1.14 Capacitar al personal (en particular al personal supervisor que se espera que reciba las notificaciones por medio de una política de puertas abiertas) sobre cómo manejar las notificaciones que reciban. P6.1.15 Tener en cuenta los métodos de notificación informal (por ejemplo, a través del personal de supervisión) y asegurar que las notificaciones de información están siendo capturadas y abordadas por la organización. P6.1.16 Utilizar las soluciones tecnológicas, habilitando a la organización para analizar la información como un método de indagación. P6.1.17 Establecer la estrategia de soluciones tecnológicas para ayudar a proporcionar información sobre el progreso del logro de objetivos, y la existencia de conducta indeseada, condiciones y eventos.

102

P6.2 FILTRAR Y ENVIAR LAS NOTIFICACIONES P6.2.01 Crear procedimientos uniformes para manejar las notificaciones, entre los que se incluyen: ● La taxonomía y vocabulario uniforme para tipos de incidentes o inquietudes, ● Formularios o campos para la entrada de datos de notificación que sean uniformes, ● Derivar y escalar situaciones a niveles jerárquicos superiores, ● Un solo archivo final para todas las notificaciones y ● Métodos para que los receptores de notificaciones por vías distintas al canal de denuncias (hotline) ingresen esta información al archivo dispuesto para su procesamiento. P6.2.02 Definir procedimientos para revisar y confirmar, eficientemente, la validez de las notificaciones. P6.2.03 Definir los requerimientos de retención de la información. P6.2.04 Hacer un seguimiento de las denuncias a medida que fluyen en el proceso de resolución. P6.2.05 Establecer un procedimiento para aportar retroalimentación al notificador, de tal manera que comprenda que la denuncia está siendo procesada o resuelta. P6.2.06 Utilizar las soluciones tecnológicas para filtrar y dirigir las notificaciones hacia la persona indicada en el momento oportuno, para que la organización pueda responder las notificaciones de humanos y del sistema. P6.3 ADHERIR A LOS REQUERIMIENTOS SOBRE PROTECCIÓN DE DATOS P6.3.Definir si el canal de consultas (helpline) y el canal de denuncias (hotline) están combinadas o separadas. P6.3.02 Determinar si se exige, permite o prohíbe un sistema anónimo de denuncias, en determinado lugar o circunstancia, y diseñar el canal de denuncias acorde con esto. P6.3.03 Comprender los requerimientos de protección y privacidad de datos que son internacionalmente aplicables a su entidad y diseñar la metodología, de tal manera que el canal de denuncias (hotline) cumpla con todos los requerimientos vigentes. P6.3.04 Establecer canales de denuncia (hotlines) o métodos de envío separados, según proceda para cumplir con las diferentes requerimientos legales tomando como base la localidad del notificador y de la entidad.

103

P7 INDAGACIÓN Periódicamente, buscar información para comprender las percepciones acerca del gobierno, aseguramiento y desempeño de la gestión, riesgo y cumplimiento, y la ocurrencia de hechos y actividades indeseadas. P7.1 ESTABLECER VARIOS MECANISMOS DE OBTENER LAS OPINIONES P7.1.01 Utilizar reuniones o conversaciones relevantes que se tiene con públicos objetivo (reuniones de empleados, sesiones de información de analistas de mercado, grupos asesores de clientes o socios comerciales, sesiones sobre lecciones aprendidas, sesiones para compartir experiencias, reuniones con entidades de gobierno, revisiones de clasificadoras de riesgo, auditorías, etc.) para obtener información. P7.1.02 Instituir oportunidades para mantener conversaciones formales con el personal. P7.1.03 Fomentar conversaciones informales y establecer una política de puertas abiertas. P7.1.04 Establecer una estrategia de soluciones tecnológicas para que la organización pueda sacarle provecho a la tecnología en cuanto a la obtención de información sobre el progreso en el logro de objetivos, y la existencia de conductas indeseables, condiciones y eventos al analizar la información organizacional y externa. P7.1.05 Utilizar soluciones tecnológicas para proporcionar a la organización información proveniente de datos incluidos en los sistemas y las bases de datos. P7.2 ESTABLECER UN MODELO INTEGRADO DE TODA LA ENTIDAD RESPECTO A LAS ENCUESTAS P7.2.01 Definir las encuestas y audiencias clave. P7.2.02 Inventariar las encuestas que ya existen y analizar la periodicidad y los contenidos. P7.2.03 Correlacionar las encuestas que se desea tener con las que ya existen, respecto a contenidos y públicos. P7.2.04 Determinar las oportunidades para consolidar o retirar encuestas. P7.2.05 Determinar discrepancias en las encuestas que ya existen en comparación con las que se desea tener. P7.2.06 Elaborar encuestas adicionales que sean necesarias. P7.2.07 Definir el máximo de encuestas que una persona debería recibir en cualquier trimestre. 104

P7.2.08 Establecer un calendario integrado de las encuestas. P7.2.09 Determinar los métodos apropiados para aumentar las tasas de respuesta y la imparcialidad en las encuestas: ● Método de entrega de la encuesta (electrónica, telefónica, en papel, etc.), ● Oportunidad de responder en forma anónima, ● Incentivo o retribución por participar, o bien ● Obligación de completarla. P7.3 ESTABLECER UN MODELO INTEGRADO DE AUTOEVALUACIONES P7.3.01 Definir las autoevaluaciones clave y audiencias objetivo. P7.3.02 Inventariar requerimientos actuales de autoevaluaciones y analizar la periodicidad y los contenidos. P7.3.03 Correlacionar las autoevaluaciones que se desea tener con las que ya existen respecto a la cobertura de contenidos. P7.3.04 Determinar las oportunidades para consolidar o retirar autoevaluaciones. P7.3.05 Determinar las discrepancias en las autoevaluaciones que ya existen para abordar las necesidades de las evaluaciones de la capacidad. P7.3.06 Formular preguntas adicionales necesarias para la autoevaluación. P7.3.07 Establecer un calendario integrado de autoevaluaciones. P7.4 RECOLECTAR INFORMACIÓN A TRAVÉS DE OBSERVACIONES Y CONVERSACIONES P7.4.01 Determinar las oportunidades para recolectar opiniones a través de reuniones programadas que ya existen con diversos grupos de partes interesadas. P7.4.02 Coordinar la calendarización de los focus groups y otras reuniones establecidas con el fin de conversar sobre los temas de la capacidad. P7.4.03 Establecer un método para recopilar la información que la administración recolecta durante conversaciones e interacciones informales con el personal y otras partes interesadas sobre sus opiniones. P7.4.04 Establecer métodos para observar el comportamiento del personal y recolectar información sobre actitudes y creencias respecto al compromiso de la entidad con los valores y la capacidad. 105

P7.5 COMUNICAR LA INFORMACIÓN Y LOS RESULTADOS P7.5.01 Analizar la información y los resultados para identificar y derivar los temas que requieren una atención inmediata. P7.5.02 Analizar la información y los resultados para identificar y derivar información pertinente para análisis de riesgos y alternativas de optimización. P7.5.03 Analizar la información y los resultados para identificar y derivar las debilidades de la capacidad a fin de mejorarlas. P7.5.04 Documentar indagaciones u observaciones usando un sistema o método que permita realizar seguimiento posterior y mayor análisis.

P8 RESPUESTA Diseñar y, cuando sea necesario ejecutar respuestas a acciones indeseables, eventos o debilidades en las capacidades identificadas o sospechadas. P8.1 ESTABLECER PROCESOS DE INVESTIGACIÓN P8.1.01 Establecer un equipo para procesar los problemas que se identifican a través de quejas, inquietudes u otros métodos (otros se pueden sumar al equipo dependiendo caso a caso para abordar tipos específicos de problemas). P8.1.02 Definir un procedimiento para asegurar que los supuestos autores no participan del procesamiento o investigación y son removidos de cualquier situación cercana a la investigación. P8.1.03 Desarrollar y utilizar taxonomías para clasificar las denuncias y su nivel de gravedad. P8.1.04 Establecer un proceso inicial de selección para separar los problemas que pueden resolverse rápidamente de los que puede que necesiten una investigación. P8.1.05 Definir la metodología para gestionar los problemas incluyendo los siguientes pasos clave: ● Registrar y categorizar un problema o consulta (envío de consultas para encontrar las respuestas) durante su ingreso, ● Confirmación o validación de un problema, ● Análisis, ● Investigación, ● Escalar el problema a instancias superiores, ● Resolución, y ● Acciones disciplinarias. 106

P8.1.06 Definir las políticas y procedimientos para determinar cuándo y cómo proteger la confidencialidad y anonimato de los denunciantes de acuerdo con los requerimientos legales vigentes. Definir las políticas y procedimientos para proteger la confidencialidad de toda la información aportada de acuerdo con los requerimientos legales vigentes. P8.1.07 Definir los “niveles de investigación” que identifican quién abordará una investigación dependiendo del alcance y tipo de situación. P8.1.08 Definir las categorías de problemas que inmediatamente se reportan al Consejo de Directores o un comité del Consejo de Directores para su validación, como por ejemplo los que se encuentran a nivel de “crisis”, debido al efecto en la entidad o denuncias de actos indebidos cometidos por la alta gerencia. P8.1.09 Definir las categorías de problemas que son lo bastante significativos para ser reportados inmediatamente a la Alta Gerencia o Asesor Legal externo para su validación, debido a la naturaleza e importancia del posible efecto en la entidad. P8.1.10 Definir las categorías de problemas que son lo bastante graves para abordarlos en investigaciones especiales por investigadores designados inmediatamente para su validación, debido a la naturaleza del posible efecto en la entidad, por lo cual se establecen procedimientos específicos. P8.1.11 Definir las categorías de problemas que se prevén durante el curso del negocio y que aborda nivel del personal de línea como base las recomendaciones de los investigadores iniciales usando procedimientos específicamente establecidos. P8.1.12 Definir los formatos de planes para investigaciones estándar y especiales de problemas comunes dentro de cada nivel de investigación que aborden: ● Normas de procesamiento, ● Disposiciones del asesor legal, ● Normas sobre la reserva, ● Normas sobre la retención de registros, ● Normas sobre escalar situaciones a niveles superiores, ● Normas sobre las denuncias internas y externas, y ● Normas sobre la administración de las investigaciones (la necesidad de un asesor legal externo o investigadores internos especiales).

107

P8.1.13 Establecer un inventario de tipos de investigaciones de terceros posibles y asignar responsables a cada uno (general o específica a tipos de riesgo o áreas de la entidad), entre los que se incluyen: ● Auditoría de cumplimiento de la entidad como proveedor, ● Investigaciones fiscalizadoras de rutina, ● Investigaciones fiscalizadoras que se relacionan con posibles transgresiones de carácter civil o penal, ● Investigaciones de particulares relacionadas con litigios o demandas legales, ● Investigaciones de partes interesadas, entre los que se incluyen los inversionistas, prestamistas, garantes y agentes de bolsa, ● Investigaciones judiciales, e ● Incautaciones en el sitio físico o de documentos por parte de funcionarios de las fuerzas de orden. P8.1.14 Determinar y documentar los derechos de la entidad y resguardos en base a procedimientos dentro del contexto de cada tipo previsto de investigación, tomando como base la autoridad/entidad que investiga y la base legal de la investigación, además de considerar las necesidades de reserva y confidencialidad. P8.1.15 Establecer políticas y procedimientos que se deben seguir al comienzo de cada tipo de investigación, entre los que se incluyen: ● Procedimientos para establecer un equipo de reacción interno y el jefe del equipo, ● Procedimientos para responder a solicitudes y citaciones a entrevistas, ● Procedimientos para responder a solicitudes y citaciones relacionadas con documentos, ● Procedimientos para responder a información por la que ex empleados u otras partes interesadas han sido contactados para entrevistas o por documentos, y ● Procedimientos para reaccionar frente a la presencia repentina en terreno de investigadores que exigen documentos o el embargo de las dependencias. P8.1.16 Establecer procedimientos para revelar la existencia de un tipo determinado de investigación al Consejo de Directores, auditores independientes, organismos fiscalizadores, acreedores o aseguradoras, cada vez que exista una obligación de hacerlo según acuerdos, contratos o políticas y procedimientos establecidos, y garantizar que la revelación cumple con los requerimientos de fechas. P8.1.17 Establecer procedimientos para informar rápidamente a la Alta Gerencia y el Consejo de Directores o Comité de Auditoría de cualquier investigación, cuyo resultado pueda ser importante para la entidad, implique alguna infracción a la administración, indique un delito cometido por alguien de la entidad o genere un posible daño al prestigio, además de tomar en cuenta las necesidades de reserva y confidencialidad.

108

P8.1.18 Establecer procedimientos para informar oportunamente a los encargados de manejar las relaciones públicas y relaciones con las partes interesadas de la entidad sobre investigaciones y, en la medida necesaria, dentro del contexto de una conversación reservada. P8.1.19 Preparar un plan estándar para administrar las respuestas para cada tipo de investigación, el cual pueda modificarse tomando en base a los hechos y circunstancias de una investigación específica, y aborde procedimientos para: ● Recopilar o identificar todos los documentos y datos solicitados, y comenzar a retener documentos para impedir cualquier destrucción o eliminación de rutina, ● Documentar con exactitud lo que se entrega a terceros, ● Llevar registro de la información que se revelará como de la “no-reservada” e indicar que la revelación es intencional y controlada, ● Llevar registro de la información “reservada” que se ha revelado, ● Determinar los individuos que deberán ser entrevistados para cumplir con las solicitudes de la investigación, tanto personal actual de la entidad como los ex empleados, ● Determinar si se rechazarán solicitudes de información y elaborar esa respuesta para estos caso que deberá ser revisada desde el punto de visto legal, ● Determinar la necesidad de negociar confidencialmente los acuerdos relativos a cierta información que se debe aportar a terceros y si la entidad debe procurar proporcionar información reservada de manera sellada, ● Informar a los involucrados en la investigación como testigos, entrevistados u otros, que el asesor legal interno o externo representa sólo a la entidad y no a ellos en forma personal, y documentar que lo comprenden, y ● Comunicar interna y externamente los resultados de la investigación y las medidas recomendadas. P8.1.20 Establecer varios mecanismos para el ingreso de consultas de terceros, incluida pero sin limitarse a, un canal de consultas (helpline) anónimo. P8.1.21 Establecer procedimientos para revisar las preguntas entrantes de terceros, incluido: ● Determinar si las primeras consultas forman parte de una investigación en curso, ● Derivar las indagaciones a un asesor legal interno o externo, y ● Asignar las preguntas que no forman parte de una investigación a la persona pertinente para su respuesta o análisis oportuno (o negativa a aportar información). P8.1.22 Establecer respuestas aceptadas a las preguntas que se espera que pueden aportarse sin una mayor revisión o aprobación, por medio de un canal de consultas (helpline) o de otra forma. P8.1.23 Establecer una lista de tipos de preguntas que requieren una derivación a un asesor legal interno o que no se responderán sin una decisión de parte de un asesor legal. 109

P8.1.24 Establecer procedimientos para garantizar que las consultas que se formulen a la entidad por un canal de consultas (helpline) u otro método, las cuales se identifican como parte o precursoras de una investigación de terceros, sean enviadas al personal pertinente que está a cargo de examinar dichas investigaciones. P8.1.25 Establecer políticas y procedimientos para exigir reportar al personal pertinente de la Administración cuando se esté en conocimiento de indagaciones o investigaciones de terceros que no son estándar. P8.1.26 Establecer el monitoreo de fuentes externas para identificar el comienzo de una investigación de terceros, cuando sea posible. P8.1.27 Establecer listas iniciales de las personas (funciones) encargadas de implementar o supervisar los procedimientos establecidos para cada tipo de investigación, además de considerar que: ● Se pueden identificar a diferentes personas para las investigaciones en diferentes áreas o responsables de riesgo de la entidad, ● Diferentes personas pueden encabezar el equipo según el tipo de investigación, y ● Algunas investigaciones deberán ser manejadas completamente por el asesor legal externo. P8.1.28 Establecer una lista de asesores legales externos seleccionados o pre aprobados para consultar cuando surja la necesidad dada una investigación, y establecer procedimientos para contratarlo, si es necesario. P8.1.29 Aplicar las normas, políticas y procedimientos establecidos para el tipo de investigación para determinar qué personas dentro de la entidad se encargarán de supervisar la función de la entidad en la investigación, además de trabajar directamente con los investigadores y dirigir el equipo interno de la investigación. P8.1.30 Establecer procedimientos para verificar y revisar que los miembros del equipo no tienen conflictos de intereses o sesgo en el tipo de investigación y revisar continuamente a media que surja información. P8.1.31 Establecer políticas que garanticen que los miembros del equipo tienen autoridad bien definida y ésta será comunicada a todo el personal que puede tener que responder a sus solicitudes de información, documentos o entrevistas. P8.1.32 Establecer políticas y procedimientos que garanticen que los miembros del equipo sean relevados de otras tareas, según sea necesario, para dedicar tiempo para participar eficazmente en la investigación.

110

P8.1.33 Establecer procedimientos para determinar si existe la obligación de revelar inmediatamente la existencia de una investigación específica al Consejo de Directores, auditores independientes, organismos fiscalizadores, acreedores o aseguradoras según acuerdos, contratos o políticas y procedimientos establecidos. P8.1.34 Preparar un plan estándar para administrar las respuestas para cada tipo de investigación, el cual pueda modificarse tomando en base a los hechos y circunstancias de una investigación específica, y aborde procedimientos para: ● Recopilar o identificar todos los documentos y datos solicitados, y comenzar a retener documentos para impedir cualquier destrucción o eliminación de rutina, ● Documentar con exactitud lo que se entrega a terceros, ● Llevar registro de la información que se revelará como de la “no-reservada” e indicar que la revelación es intencional y controlada, ● Llevar registro de la información “reservada” que se ha revelado, ● Determinar los individuos que deberán ser entrevistados para cumplir con las solicitudes de la investigación, tanto personal actual de la entidad como los ex empleados, ● Determinar si se rechazarán solicitudes de información y elaborar esa respuesta para estos caso que deberá ser revisada desde el punto de visto legal, ● Determinar la necesidad de negociar confidencialmente los acuerdos relativos a cierta información que se debe aportar a terceros y si la entidad debe procurar proporcionar información reservada de manera sellada, ● Informar a los involucrados en la investigación como testigos, entrevistados u otros, que el asesor legal interno o externo representa sólo a la entidad y no a ellos en forma personal, y documentar que lo comprenden, y ● Comunicar interna y externamente los resultados de la investigación y las medidas recomendadas. P8.2 PREPARARSE PARA ABORDAR LAS SITUACIONES DE CRISIS P8.2.01 Identificar los tipos de crisis que podrían surgir y crear una lista de ejemplos específicos considerados como probables o con un efecto significativo, si es que ocurrieran, incluidos los hechos con impacto a nivel de crisis en: ● Una planta o infraestructura física como por ejemplo desastres climáticos, accidentes o daño intencional a las estructuras, ● El acceso a datos como por ejemplo una perturbación física a los servidores o una falla tecnológica, ● La protección de la información confidencial o personal como por ejemplo un robo o violación a datos confidenciales o personales, ● La capacidad de funcionar como por ejemplo interrupciones tecnológicas, cortes de electricidad o agitación política, ● La confianza pública en productos o servicios, ● El prestigio, ● El personal como por ejemplo crisis sanitaria, y 111

●

La empresa, la comunidad o las personas producto de conductas delictuales violentas.

P8.2.02 Realizar un análisis de impacto en el negocio respecto a cada tipo de crisis enumerada: ● Refinando el análisis de los riesgos y contextos internos y externos, ● Analizando los efectos tales como pérdida, retraso, incapacidad de acceder o atender a personas, sistemas, procesos, proveedores, clientes y socios comerciales clave, y ● Analizando la pérdida prevista de información tomando como base las estrategias de archivo y respaldo para sistemas y procesos. P8.2.03 Abordar las metas de continuidad y recuperación del negocio respecto a cada tipo de crisis: ● Determinando los objetivos sobre el tiempo de recuperación, ● Priorizando los procesos de negocio clave y las funciones más importantes, ● Seleccionando y documentando las estrategias de continuidad del negocio para operaciones interinas y planes de recuperación, ● Documentando las operaciones interinas con sistemas de información y planes de recuperación, y ● Documentando las reacciones interinas y recuperación en las instalaciones. P8.2.04 Establecer planes de reacción y planes de recuperación detallados respecto a cada tipo de crisis, incluyendo: ● En el caso de una crisis física, políticas y procedimientos para la coordinación con las instituciones encargadas de la respuesta inmediata incluidos respecto de planes, procedimientos y protocolos de comunicación, para que puedan facilitar la seguridad, el rescate y las operaciones de emergencia, ● En caso de alegatos por conducta delictual, los procedimientos para interacciones con la policía o fiscalía, ● En el caso de interrupción o falla en la gestión de datos, los planes de recuperación en caso de desastre, ● Un plan y equipo asignado de comunicaciones, incluidas las relaciones legales, públicas y de inversionistas, según proceda, ● Políticas y procedimientos de comunicaciones con el público con representantes designados por la entidad. Involucrar departamento de relaciones públicas, legal y de relaciones con inversionistas, según proceda, ● Procedimientos para establecer un centro de operaciones alternativo alejado de la zona de peligro o crisis, ● Políticas y procedimientos que prioricen la seguridad física de los empleados y las comunicaciones con sus familias, ● Procedimientos para evaluar ejercer los derechos contractuales u otros de tipo legal con el objetivo de exigir una indemnización o entablar demandas por el seguro, y 112

●

Procedimientos para analizar la eficacia y desempeño de la reacción después de tomar medidas.

P8.2.05 Identificar equipos de preparación frente una crisis y los equipos de reacción: ● Para cada tipo de crisis, identificar el personal responsable de la preparación y monitoreo de las señales de una crisis inminente. ● Para cada tipo de crisis, identificar un equipo de reacción preliminar en cada lugar y mantenerlo actualizado, según sea necesario, para abordar los cambios de personal. ● Identificar a la jefatura que está a cargo de comunicarse con el personal, las familias y las partes interesadas respecto a cada tipo de crisis. ● Determinar las autoridades subrogantes en caso que una persona con autoridad establecida no se encuentre disponible cuando surja una crisis. P8.2.06 Para cada tipo de crisis, definir un plan de preparación y simulacro, incluido: ● Evaluar el desempeño en comparación con el plan y la eficacia de la reacción ● Correlacionar los planes locales, regionales y nacionales. ● Coordinar y racionalizar los objetivos de tiempo de recuperación en todos los planes de funciones individuales, departamentos, unidades de negocio o dependencias con disponibilidad proyectada de recursos. ● Racionalizar los objetivos de tiempo de recuperación utilizando sistemas de información relativos a capacidades de recuperación. P8.3 REALIZAR SEGUIMIENTO A LOS PROCESOS DE RESOLUCIÓN DE PROBLEMAS P8.3.01 Responder a cada investigación o situación de crisis de acuerdo con lo establecido en los planes y procesos. P8.3.02 Coordinar y comunicarse con las partes interesadas externas e internas impactadas por la investigación o situación de crisis. P8.3.03 Asegurar que la documentación adecuada se mantiene sobre las actividades de respuesta para ser usados en el monitoreo de la gestión, el aseguramiento y otras actividades. P8.4 MEJORAR LAS CAPACIDADES P8.4.01 Proponer cambios a controles y acciones definidas para corregir fallas en las capacidades que causaron el problema o incidente. P8.4.02 Documentar los resultados incluidos: categorías de los resultados, motivo, resolución y remediación. P8.4.03 Resolver los problemas o incidentes reportados usando los procesos de corrección.

113

P8.5 DISCIPLINAR Y REENTRENAR P8.5.01 Definir y hacer cumplir un procedimiento y criterios para aplicar medidas disciplinarias sistemáticamente dado el tipo de mala conducta. P8.5.02 Gestionar medidas disciplinarias apropiadas según las políticas, procedimientos, leyes y normas vigentes P8.5.03 Hacer un seguimiento de las acciones disciplinarias e incluirlas en los archivos del personal y los registros de toda la empresa. P8.5.04 Proveer un re-entrenamiento adecuado. P8.5.05 Informar periódicamente al Consejo de Directores sobre medidas disciplinarias importantes que se han adoptado (y los hechos y circunstancias implicadas). P8.5.06 Revisar periódicamente medidas disciplinarias previas para asegurar que exista coherencia. P8.6 DETERMINAR REVELACIONES P8.6.01 Conforme a lo exigido, comunicar los resultados de las investigaciones a partes interesadas externas. P8.6.02 Establecer procedimientos para revelar voluntariamente los resultados y la resolución de las investigaciones a partes interesadas internas y externas, según proceda, entre los que se incluyen: ● Los organismos fiscalizadores, ● Las autoridades de las fuerzas de orden, ● Los inversionistas, ● Los clientes, y ● El personal. P8.6.03 Proporcionar un solo punto de comunicación con las partes interesadas. P8.6.04 Informar a las partes interesadas sobre los cambios resultantes en la capacidad.

114

EVALUAR R1 MONITOREO Monitorear y evaluar periódicamente el desempeño de la capacidad para garantizar que su diseño y funcionamiento es eficaz, eficiente y responde al contexto externo e interno que está en constante cambio. R1.1 MONITOREAR Y EVALUAR EL DISEÑO DE GRC R1.1.01 Definir los aspectos del diseño de capacidad para que sean reevaluados periódicamente, entre los que se incluyen: ● La eficacia para evitar y detectar conductas o hechos que transgreden los requerimientos obligatorios o los voluntariamente asumidos, ● La eficiencia de los controles establecidos como parte del sistema, ● La pertinencia de los controles seleccionados relativos al nivel de riesgo y ● Capacidad de reacción del sistema. R1.1.02 Seleccionar los métodos de monitoreo apropiados para cada aspecto de la capacidad tomando como base las metas y grado de aseguramiento, como por ejemplo: ● Tecnologías para identificar incidentes de incumplimiento de los procedimientos establecidos, ● Revisión periódica de muestras de informes, formularios u otra documentación exigida, ● Revisión periódica de indicadores de desempeño establecidos, y ● Revisión periódica de la información pruebas de control. R1.2 IDENTIFICAR LA INFORMACIÓN DE MONITOREO R1.2.01 Identificar información concluyente que pueda utilizarse para definir si una actividad de control/optimización de riesgo es eficaz, eficiente y de buena reacción. R1.2.02 Considerar la información directa proveniente del monitoreo de los ambientes externos e interno. R1.2.03 Considerar la información directa sobre incidentes verificados y perfiles generales de conductas indebidas. R1.2.04 Considerar la información directa proveniente de las pruebas efectuadas a los controles. R1.2.05 Considerar la información indirecta generada por procesos de negocio para fines operativos. 115

R1.2.06 Asegurar que la información sea suficiente, pertinente, confiable y oportuna. R1.2.07 Determinar qué información se puede revisar por medio de muestras y cuál necesita una revisión por completo. R1.2.08 Determinar qué información se debe considerar que no está incluida en documentos o fechas revisables y los métodos para revisar dicha información como por ejemplo entrevistas o encuestas. R1.2.09 Identificar las actividades de optimización de riesgo clave que, de fallar, puede que no se detecten en forma oportuna (puntos de falla). R1.2.10 Identificar las actividades para la optimización de riesgo cuya falla podría desencadenar la falla de otras actividades para el mismo fin (puntos de falla en cascada). R1.2.11 Identificar las actividades para la optimización de riesgo que pueden compensar las fallas de otras actividades clave (actividades compensatorias clave). R1.2.12 Identificar otras actividades relacionadas para la optimización de riesgos. R1.2.13 Utilizar soluciones tecnológicas para aportar al monitoreo. R1.3 REALIZAR ACTIVIDADES DE MONITOREO R1.3.01 Revisar los documentos y las muestras de datos identificados. R1.3.02 Realizar entrevistas y encuestas. R1.3.03 Consolidar la información de diferentes fuentes para permitir la comparación y el análisis. R1.4 ANALIZAR E INFORMAR LOS RESULTADOS DEL MONITOREO R1.4.01 Analizar la información proveniente de actividades para evitar, detectar y reaccionar, incluidas las investigaciones que se han finalizado y las que están en curso. R1.4.02 Analizar la información proveniente de las actividades para el control del capital humano. R1.4.03 Analizar la información proveniente del monitoreo del contexto. R1.4.04 Identificar y analizar las razones de la existencia de información conflictiva. R1.4.05 Determinar la validez y confiabilidad de la información. 116

R1.4.06 Determinar si las conductas indebidas o fallas de los controles superan las tolerancias aceptables establecidas. R1.4.07 Determinar si una serie de instancias de conductas indebidas o fallas de controles se relaciona con una localidad, supervisor, gerente o persona en particular. R1.4.08 Determinar si una serie de fallas de los controles se relaciona con un proceso, capital humano, tecnología o control físico en particular. R1.4.09 Informar sobre los resultados y reacciones generales propuestas a las partes interesadas pertinentes internos y externos. R1.4.10 Analizar las complejidades de los controles. Los controles más complejos normalmente presentan un mayor grado de posibilidad de falla. R1.4.11 Analizar las habilidades y conocimiento que se necesitan para realizar un control y la disponibilidad de éstas, ya que su insuficiencia rápidamente afectará estos controles. R1.4.12 Analizar el grado de automatización en comparación con la ejecución manual del control ya que: los controles manuales son más propensos al error humano que los automatizados y los controles automatizados son más propensos a los errores voluminosos y repetidos, si existe un problema sistémico. R1.4.13 Analizar las fallas anteriores relacionadas con los controles.

R2 ASEGURAMIENTO Proveer aseguramiento a la administración y al Consejo de Directores, y a otras partes interesadas que la capacidad es confiable, eficaz, eficiente y con capacidad de reacción. R2.1 PLANIFICAR LA EVALUACIÓN DE ASEGURAMIENTO R2.1.01 Determinar el alcance de la revisión. R2.1.02 Determinar el nivel de seguridad deseado. R2.1.03 Tomando como base un cronograma, costos y objetivos, determinar si definir normas, procedimientos y criterios o utilizar normas objetivas emitidas independientemente o procedimientos acordados para una revisión, y si es así, identificarlos. R2.1.04 Identificar los encargados de realizar la evaluación que sustenta el nivel de seguridad.

117

R2.2 EJECUTAR LA EVALUACIÓN DE ASEGURAMIENTO R2.2.01 Revisar los informes de monitoreo y los cambios en la capacidad llevados a cabo anteriormente por la administración como parte del proceso del aseguramiento. R2.2.02 Seleccionar una muestra adecuada de transacciones/controles para examinar y determinar si la capacidad está siendo gestionada acorde con la misión, visión, valores y el criterio para la toma de decisiones. R2.2.03 Analizar la evidencia recolectada, los resultados de la examinación y desarrollar conclusiones sobre el diseño y la efectividad operativa de la capacidad. R2.2.04 Preparar un reporte de aseguramiento y recomendaciones para la administración y al Consejo de Directores.

R3 MEJORAMIENTO CONTINUO Revisar la información del monitoreo, evaluación periódica, aseguramiento y acciones y controles de detección, para identificar oportunidades de mejora para la capacidad. R3.1 CREAR UN PLAN DE MEJORAMIENTO CONTINUO R3.1.01 Preparar una cartera de iniciativas de desarrollo y mejoramiento continuo. R3.1.02 Comunicar el plan a la administración. R3.1.03 Definir las recomendaciones provenientes de informes y resultados de investigaciones que no se incluyen en el plan y aportar (una) explicación(es). R3.1.04 Obtener la autorización para ejecutar el plan de desarrollo y mejoramiento continuo. R3.2 IMPLEMENTAR INICIATIVAS DE MEJORAMIENTO CONTINUO R3.2.01 Adaptar las prioridades y planes existentes para hacer ajustes y agregar ítems. R3.2.02 Mejorar las capacidades de gestión del cambio y de gestión de proyectos/programas según la necesidad de las iniciativas adicionales. R3.2.03 Dedicar recursos para llevar a cabo las iniciativas. R3.2.04 Gestionar las iniciativas según los planes. R3.2.05 Informar periódicamente sobre el estado de los proyectos y portafolio de proyectos. R3.2.06 Confirmar que las iniciativas se finalizaron como se definían en el plan desarrollo y mejoramiento continuo. 118

R3.2.07 Evaluar si se lograron los objetivos de mejora previstos. R3.2.08 Documentar los cambios de GRC, incluidos los que se realizan, de haberlos, en el plan estrat茅gico de GRC, la matriz de riesgos priorizados y el plan para la optimizaci贸n de riesgo.

119

OCEG Red Book Modelo de Capacidad de GRC Apéndice B – Documentación Sugerida

120

DOC.A – Autorizaciones DOC.A.01 – Estatuto Un documento de una autoridad directiva que define el fin, objetivo y autorización de una persona o grupo para realizar actividades dentro del alcance especificado. DOC.A.02 – Segregación de funciones Un documento que refleja que las responsabilidades de algunas funciones o cargos deberían diferenciarse de las de otras, como medida cautelar para evitar fraudes, errores o conflictos de interés.

DOC.D – Descripciones DOC.D.01 – Descripciones de funciones o cargos Una explicación detallada de las responsabilidades y expectativas de una persona en una función o cargo en particular, que generalmente incluye: ● Las obligaciones de rendir cuentas y las responsabilidades relativas a la supervisión y fiscalización, ● Las obligaciones de informar, ● La medición del desempeño y objetivos a nivel personal, y ● Las habilidades, conocimientos y experiencia. DOC.D.02 – Descripciones sobre el modelo de datos de la tecnología de GRC Un documento que describe la estructura y las relaciones que existen entre los datos dentro de un componente tecnológico clave. DOC.D.03 – “Preguntas Frecuentes” del canal de consultas (helpline) Una descripción completa y detallada de las preguntas que se formulan con frecuencia en el del canal de consultas (helpline), junto con la guía preferente y la información o recursos relacionados para aportarle a la persona que llama o de uso para el personal del canal. DOC.D.04 – Lista de verificación en las entrevistas de salida Un documento que enumera las actividades que se deben llevar a cabo y las preguntas que se deben formular durante una entrevista a una parte interesada interna antes de su partida de la entidad.

121

DOC.I – Normas internas DOC.I.01 – Taxonomía de control Un vocabulario común para describir las categorías de controles en varios aspectos: Aspecto 1 ● ● ●

Controles preventivos, De detección y Correctivos

Aspecto 2 ● ● ● ● ●

Proceso Capital humano Tecnología Financiero Controles físicos

DOC.M – Matrices DOC.M.01 – Matriz de políticas y procedimientos relacionados Una matriz/tabla que correlaciona cada política con sus atributos y otras políticas o procedimientos y, optativamente, con la capacitación, los informes u otras fuentes de prueba de cumplimiento. DOC.M.02 – Matriz de riesgos priorizados Una matriz/tabla que correlaciona cada riesgo con sus atributos como por ejemplo: ● ● ● ● ● ● ●

La clasificación o priorización, Las fuentes de riesgo (evento, tendencia, exigencia, etc.), El análisis de riesgo inherente (probabilidad, efecto y duración), Las actividades actuales de optimización implementadas, El análisis de riesgo residual actual (probabilidad, efecto y duración), Las actividades de optimización planificadas, y El análisis de riesgo residual planificado.

DOC.M.03 – Matriz de riesgos y controles Una lista de riesgos correlacionados con las acciones y controles proactivas, de detección y de reacción correspondientes.

122

DOC.P – Planes DOC.P.01 – Plan de sensibilización y educación Una sinopsis que refleja el orden, periodicidad, audiencia y responsabilidad de todas las comunicaciones y actividades educacionales que se llevarán a cabo durante el curso de uno o varios años para sensibilizar respecto a: ● El compromiso de la entidad para cumplir sus requerimientos; ● Las capacidades de la capacidad; ● Los canales para resolver consultas sobre las responsabilidades y expectativas; ● Las actividades de la capacidad diseñadas para cumplir con los requerimientos, y ● Educar respecto a las responsabilidades específicas del personal general, toda la empresa y aquellos en funciones determinadas. DOC.P.02 – Plan de comunicación y emisión de informes Un programa que exponga las estructuras, procesos y recursos para aportar información (para informar o persuadir) a aquellos con autoridad para influir o monitorear un programa o iniciativa. Un plan incluiría: ● El público objetivo/audiencia, ● Los objetivos de la comunicación, ● El método de entrega, ● La periodicidad de entrega, ● Quién rinde cuenta y está a cargo de la comunicación y a quién debería consultarse respecto a la comunicación, y ● Para una serie de comunicaciones, las dependencias entre ellas y la periodicidad relativa. DOC.P.03 – Plan de crisis, continuidad y recuperación Uno o varios documentos que exponen las estructuras, procesos, protocolos y recursos para reaccionar frente a una crisis, entregar operaciones interinas hasta la reanudación total del negocio y recuperarse de los efectos de un acontecimiento adverso. Dichos planes incluirían: ● Los nombres e información de contacto del personal clave a cargo de la reacción frente a una crisis, ● La identificación y responsables de los recursos, procesos, sistemas, relaciones con los proveedores y con los clientes clave, ● La designación de los coordinadores de seguridad y evacuación, las vías y sitios para evacuar, ● Los puntos de contacto con las partes interesadas clave (policía, bomberos, empresas de servicios públicos, medios de información, representantes de los empleados, relaciones de los inversionistas, analistas, etc.), y ● Los componentes de este entregable incluirían: ● La autoridad subrogante; ● El plan de operaciones de emergencia; ● El plan de operaciones interinas; 123

● ● ● ●

El plan para la recuperación de los sistemas de información; El plan de reanudación de las operaciones; Los procedimientos operativos de emergencia; y Los planes de pruebas.

DOC.P.04 – Plan para la Gestión de la información de GRC Un documento que expone las estructuras, procesos y recursos para administrar la información durante todo el ciclo de vida de la información, e incluiría: ● Un programa de clasificación para la información y los registros y ● Políticas y procedimientos relacionados: ● La recolección de información; ● El acceso, uso y traspaso de información; y ● El almacenamiento, retención, eliminación y recuperación de la información. DOC.P.05 – Plan estratégico de GRC Un documento que detalla las estructuras, procesos, tecnologías, recursos, objetivos y medidas para establecer y mantener la capacidad necesaria para lograr la misión y visión. Los componentes incluirían: ● Los estatutos, ● La declaración de la misión o visión, ● Los resultados e hitos de madurez (junto a la correlación con los objetivos del negocio) ● El caso de negocios, ● La estrategia de medición (métrica, indicadores, método de cálculo, frecuencia de medición, naturaleza y frecuencia de la emisión de informes), ● El organigrama, ● El plan de capital humano y las relaciones con los proveedores (para la implementación y operaciones en curso), ● El plan financiero (puesta en marcha y operaciones), ● El plan tecnológico, ● El plan de aseguramiento, y ● El plan de implementación. DOC.P.06 – Plan de Gestión de la investigación Un documento que expone las estructuras, procesos, protocolos y recursos para realizar y concluir una investigación. El plan incluiría: ● La estructura para la dirección de la investigación, ● El equipo de investigación, ● El plan de comunicación y emisión de informes, ● Los procedimientos operativos y de comunicación, ● El presupuesto, ● El programa proyectado de las actividades, y ● El plan tecnológico (para la gestión del equipo, investigación e información). 124

DOC.P.07 – Plan integrado Un documento que detalla los procesos y recursos asignados para lograr los objetivos de manera confiable, al mismo tiempo de abordar la incertidumbre y actuar con integridad. DOC.P.08 – Plan de estudios especializados en GRC Una sinopsis que refleja el orden y las fechas de todos los cursos para cada una de las funciones de la capacidad y puede incluir una descripción detallada de cada uno: ● El nombre del curso, ● Sus objetivos, ● Las habilidades que se desarrollan y ● Las opciones de asistencia (en línea, video o presencial) junto con los requisitos sobre habilidades respecto a cada curso. DOC.P.09 – Plan de actividades de control correctivo Un plan que detalla las acciones de gestión que se deben tomar para detener o desacelerar un evento adverso que afecte a una entidad; y restablecer el sistema hasta estabilizarlo.

DOC.R – Informes DOC.R.01 – Reportes Cualquier documento oficial que se presenta a la autoridad gubernamental (administrativa, fiscalizadora, legislativa o judicial). DOC.R.02 – Informe sobre resultados y recomendaciones Una presentación o declaración del resultado de una actividad o análisis junto con las recomendaciones respecto a cambios o mejoramientos. DOC.R.03 – Informe de medidas correctivas Lista de actividades de control correctivo, agrupadas por tipo de control correctivo, al igual que categoría de evento adverso corregido. La información de periodos anteriores puede incluirse para llevar a cabo comparaciones y análisis. DOC.R.04 – Reporte de Aseguramiento Un reporte preparado por la función de aseguramiento proporcionando conclusiones en el diseño y la efectividad operativa de una capacidad, entregado a la administración y al Consejo de Directores.

125

DOC.S – Estados de situación DOC.S.01 – Código de conducta Una guía que relaciona los valores y principios de una entidad con las normas sobre conducta profesional. DOC.S.02 – Lineamientos éticos para la toma de decisiones La recomendación de la entidad sobre los factores que se deben considerar junto con los requerimientos, políticas y filosofías aplicables al determinar la línea de acción apropiada cuando se enfrenta un dilema ético. DOC.S.03 – Declaración sobre misión, visión y valores Una descripción verbal o documentada de las principales metas, creencias, valores, condición futura deseada y plan global que sirve de guía para las actividades de la entidad e inspira a las personas a actuar en consecuencia. DOC.S.04 – Declaración de objetivos organizacionales Una declaración de los resultados tangibles que la entidad espera lograr por medio de la ejecución de su misión y visión.

126

OCEG Red Book Modelo de Capacidad de GRC Versión 3.0 Apéndice C – Aportes al Red Book Desarrollo de Versiones 1.0 – 3.0

127

ComitĂŠ de Liderazgo del Red Book Aon

McAfee

Approva

Marsh

Archer Daniels Midland

MetricStream

Axentis

Microsoft

Baker Hughes

OpenPages

Baker Tilly Colombia

Oracle

Bwise

PETCO

CA, Inc

PricewaterhouseCoopers

Cisco Systems

Qwest

Compliance Initiatives

Raytheon

Corporate Integrity

RSA

Dell

SAI Global

Deloitte

SAP

Dow Chemical Company

SAS

Ernst & Young

Staples

EthicsPoint

Sun Microsystems

Freddie Mac

Temple-Inland

Gevity HR

Thomson Reuters

Global Compliance Services

Toyota Motor Sales, U.S.A

Grant Thornton

UHY Advisors

Interactive Alchemy

Unilever

Kalorama Partners

U.S. Cellular

Kraft Foods

Ventura Foods

Levick Strategic Marketing

Walmart

Littler Mendelson

XPLANE

128

Co- Directores del ComitĂŠ Ejecutivo Red Book 2.0 Mr. Larry Harrington, CPA, CIA Vice President, Internal Audit, Raytheon Company (Professional Issues Committee â&#x20AC;&#x201C; IIA) Mr. Brad Jewett Vice President, Enterprise Risk Management, BMC Software (Formerly during this process - Director, Enterprise Risk Management, Microsoft Corporation) Mr. Scott Roney, Esq., Vice President, Compliance and Ethics, Archer Daniels Midland Company Mr. John Steer Partner, Allenbaugh Samini LLP (Vice Chair US Sentencing Commission, 1999-2007)

129

Comité Ejecutivo Red Book (V 1.0 – 2.1) Steering Committee members attended several drafting and review sessions, and individually prepared comments on each draft of the Red Book document throughout the development process. They are identified with their roles and companies as of the time of their participation. Prof. Mr. Sanjay Anand - Chairperson, Sox Institute, G R C Group

Mr. David Heller, VP Risk and Chief Ethics and Compliance Officer, Qwest Communications

Ms. Carole Basri - President, The Corporate Lawyering Group LLC

Mr. Steven Helwig - Director Professional Services, Compliance Spectrum

Mr. Mark S. Beasley - Deloitte Professor of Enterprise Risk Management and ERM Initiative Director Professor of Accounting College of Management - COSO Board Member

Mr. David Hess – Director, Internal Audit and Controls, Jefferson Wells International, Inc.

Mr. Ronald Berenbeim -Director of Ethics Research, The Conference Board

Mr. Michael Horowitz — Partner, Cadwalader Wickersham & Taft LLP and U.S. Sentencing Commission Member Mr. Allen Stewart - Managing Director Ethics, Duke Energy

Mr. Earnie Broughton - Executive Director/Ethics Program Coordinator, USAA

Mr. Gaurav Kapoor – CFO and General Manager, MetricStream

Mr. Robert Chastain - General Council-VP Compliance-Chief Security Officer, Pepperweed Consulting LLC

Mr. David Koenig - Past Chairman of The Board of Directors, PRMIA

Mr. Brian Chevlin - Deputy General Counsel, Unilever

Mr. Rick Kulevich - Sr. Director, Ethics and Compliance, CDW

Mr. Norman Comstock, CIA, CISA, CISSP, CCSA, CSOXP Managing Director, UHY Advisors TX LLC Mr. David B. Crawford, CIA, CCSA - Audit Manager Emeritus, System Audit Office, The University of Texas System

Ms. Melissa Lea - Chief Global Compliance Officer, SAP AG Mr. Paul Liebman - Chief Compliance Counsel, Dell Corporation

Ms. Mary Doyle - Ethics & Compliance, Intel Corporation

Ms. Sara A. Liftman - Senior Manager, AABS Advisory Services, Ernst & Young LLP

Mr. Andrew Dahle, CPA, CIA, CISA, CFE – Partner, Advisory, PricewaterhouseCoopers LLP

Mr. Worth MacMurray, Esq. – Principal, Compliance Initiatives

Ms. Deb Davis - Executive Vice President, Great River Compliance & Advisory Services LLC

Mr. Jay Martin - VP CCO & Sr Deputy Gen Counsel, Baker Hughes

Mr. Lee Dittmar – Principal, Deloitte

Mr. Bruce McCuaig - Director Solution Marketing, SAP Governance Risk and Compliance Solutions

Mr. Kip Ebel, CFE - Senior Manager, Health Sciences, Fraud Investigations & Dispute Services, Ernst & Young LLP Ms. Kathleen Edmond - Chief Ethics Officer, Best Buy Mr. Pete Fahrenthold -Managing Director Risk Management, Continental Airlines Mr. Dave Ferguson - VP of Operations Compliance, WalMart Stores, Inc. Mr. Carlo di Florio - Partner, Advisory, PricewaterhouseCoopers Mr. Eugene Fredriksen – CISO, Tyco International Mr. Trent Gazzaway - Managing Partner of Corporate Governance, Grant Thornton LLP Mr. David Gebler – President, Skout Group, LLC Mr. Allan Goldstein - Retired Managing Director Risk Advisory, ARGUS Holdings Ltd Dr. Parveen Gupta, LL.B., Ph.D.-Professor of Accounting and Chairman Accounting - Lehigh University Mr. Abdel Krim Hamou-Lhadj, Manager, Regulatory Compliance & Quality Assurance Cognos Products – IBM

Ms. Andrea McElroy - Sr. Director Compliance System Integrity, Golden Living Mr. Robert N. Merrill, JD – Senior Manager, Fraud Investigation and Dispute Services, Ernst & Young LLP Mr. Eric Moorehead, Assistant General Counsel, United States Sentencing Commission Mr. Randy Nornes – Executive Vice President, Aon Corporation Mr. Xunlez Nunez - Ethics and Compliance Business Consultant, Baker Hughes Ms. Haydee Olinger - VP Chief Compliance Officer, McDonalds Mr. Paul C Palmes – President, Business Standards Architects, Inc. Ms. Xenia Ley Parker - Senior Director, Marsh & McLennan Cos Ms. Tian Peng, CIA - Audit Manager, China National Offshore Oil Corporation Ltd

130

Ms. Deborah Penza - VP Corporate Compliance, Elan Pharmaceuticals, Inc. Mr. Michael Rasmussen - President, Corporate Integrity Mr. F. Richard Ricketts, JD -Director of Finance, Workforce Development Council Snohomish County Ms. Janet Sheiner, Director, Ethics & Compliance, PETCO Ms. Faye Stallings - Vice President Audit & Ethics, El Paso Corporation Mr. Richard Steinberg – CEO, Steinberg Governance Advisors, Inc. (Author, COSO Internal Control & COSO ERM and formerly corporate governance leader of PricewaterhouseCoopers)

Mr. Allen Stewart - Managing Director Ethics, Duke Energy Ms. Nan Stout - Vice President, Business Ethics, Staples Mr. Jose Tabuena - VP Integrity and Compliance/Corporate Secretary, MedicalEdge Healthcare Group, Inc. Mr. Kendall Tieck - Audit Director, Business Groups,Microsoft Mr. Tom Wardell – Partner, McKenna Long & Aldridge LLP Ms. Shirley Yoshida - SVP, Internal Audit, Macy’s Inc. Mr. Chet Young - Divisional VP Audit Compliance and Loss Prevention, Walgreen Co

Equipo de Trabajo y Supervisores de Red Book (V1.0 – 2.1) Task Force members attended online review meetings and both Task Force and Red Book Review Panel contributors provided their focused review of the Red Book 2.0 drafts throughout the process. They are identified with their role and company as of the time of their participation. Task Force Members Mr. Ted Banks – Compliance & Competition Consultants, LLC (formerly Chief Counsel Global Compliance, Kraft Foods)

Mr. John Fons, Esq. – Attorney, John Fons Solo Practice Mr. Christopher Fox – Senior Principal Manager, Governance Risk and Compliance, CA

Mr. Dinesh O. Bareja - Program Director, CSI eSecure, Inc. (Canada)

Mr. Arnold Galit - VP Risk and Compliance, Ikobo, Inc

Mr. Hadi Beski – PM, Hashem Co

Mr. Jason Garelli - Head of Operational Risk and Sox Management, Och-Ziff Capital Management

Mr. Matthew Blake – Analyst, Ikobo Mr. Wayne Brody - CCO VP Legal Affairs, Arrow Electronics, Inc Mr. Mark Carey - Partner, Deloitte & Touche LLP Mr. Glenn Carleton - Director National Consulting, RSM McGladrey Mr. Nick Ciancio - Vice President Marketing, Global Compliance Mr. Paul Cogswell – Vice President ERC, Comdata Network, Inc. Mr. Brett Curran – Vice President GRC and Regulatory Practices, Axentis LLC Mr. Ronald De Boer - Senior Sales Executive GRC, SAP Nederland (Netherlands) Mr. Stephen Donovan - Chief Counsel - International Compliance, International Paper Company Ms. Christine Doyle - SVP Senior Compliance Director, Bank of America Mr. Rocky Dwyer, PhD, CMA – Principal, Chief Review Services, National Defence (Canada) Ms. Catherine Finamore Henry, CIA – Ethics Officer and VP, Business Development, SmartPros Legal & Ethics, Ltd.

Mr. Joe Grettenberger - Compliance Solutions Integration Manager, Quest Software Mr. Eric Hespenheide - Internal Audit Services – Global Leader, Audit and Enterprise risk Services, Deloitte & Touche LLP Mr. Eric Hong – Manager, Security Consulting, A3 Security (Republic of Korea) Mr. Jawaid Iqbal - System Analyst, Saudi Pan Gulf (Saudi Arabia) Mr. Dennis Irwin, CIA - Internal Audit Manager, Health Care Practice, Wipfli LLP Mr. Bob Jacobson - Managing Director National Consulting, RSM McGladrey Ms. Colleen Lyons, MBE, CCEP – Principal, Ethical Stability™ Mr. John MacKessy – President & CEO, Prism Risk Advisors, Inc. Mr. Eamonn Maguire - Managing Director, PricewaterhouseCoopers LLP Mr. Paul McGreal - Prof of Law, Southern Illinois University School of Law Mr. Ashish Mehta - IT Manager, BP (United Arab Emerates)

131

Mr. Jeffrey Miller - Chief Compliance Officer, Synthes Mr. Bruce R. Millman - Shareholder, Littler Mr. James O'Keeffe - Consulting Manager, Sycor Americas Mr. Brin Odell - Director - Client Services, EthicsPoint Ms. Mary Pruitt - Associate Director Firm Compliance, Americas Office of Ethics and Compliance, Ernst & Young Mr. Azwar Ritonga - OSS Eng, TELKOM (Indonesia) Mr. David Mace Roberts - Vice President and Gen Counsel, Elbit Systems of America LLC Mr. Roy Robinson - Vice President Communications Education, Archer Daniels Midland Company Mr. Sayed Sadjady - Partner, PricewaterhouseCoopers LLP Mr. Suvendu Samantaray - Business Consultant, Infosys Consulting

Mr. William Shenkir, Ph.D., CPA - William Stamps Farish Prof Emeritus, McIntire School of Commerce, University of Virginia Mr. Ratan Sonti - Software Engineer, SAP Ms. Andrea Spudich, CCEP – Principal, The Responsible Leader Group Ms. Darla Stanley – Wal-mart Stores, Inc. Ms. PJ Sullivan - Sr Technical Mgr-IT Compliance, Freight System, FedEx Corporation Mr. Lou Tinto - Engagement Manager Technology Risk Management, Jefferson Wells Ms. Patricia Towers - Senior Manager, Global Ethics & Compliance, Procter & Gamble Ms. Juven Zeng – Consultant, Smartdot Tech

Review Panel Members Mr. Daoud Abu-Joudom, MBA, CISA, CISM – VP, Head of IT Audit, Group Internal Audit, Arab Bank (Jordan)

Mr. Mandar Chitre - Solution Architect, Infrastructure Management Services, Patni (India)

Mr. John Adamsons – Coordinator, WHO

Mr. Tom Cleary (Australia)

Mr. Mani Akella - Director, Technology, Consultantgurus

Mr. Richard Cohan, FACHE, CHC, CCEP - Director of Integrity and Compliance and Chief Privacy Officer, Providence Health & Services

Ms. Julia Allen - Senior Researcher, Carnegie Mellon University Ms. Sam Apps - Group Manager Compliance, Origin Energy Limited (Australia) Mr. Toks Azeez - Compliance Business Consultant, Legal Department, Baker Hughes Inc.

Mr. Marco Colonna (Italy) Mr. Brian Conrey, CISA - Program Manager, Controls Integrity LLC Ms. Laura Cote - Senior Auditor, Allergan

Mr. Timour Baiazitov – Head of Risk Management and Control, Severstal (Russia)

Mr. Doug Cotton - MD Business Ethics & Compliance Program, American Airlines

Mr. Brian Barnier – GRC, IBM Corporation

Mr. Kevin Crimmins - VP GC, Software Impressions LLC

Mr. Stephen Baruch, CBCP – Disaster Preparedness, Business Continuity, Enterprise Risk Management

Mr. John Cross - Lecturer, California State University Fullerton

Mr. Bob Bassetti - Senior Manager, BearingPoint, Inc. Mr. Indarduth Beejah – Deputy Director Internal Control, US Government (Mauritius) Mr. Jose Antonio Rubio Blanco - Rey Juan Carlos University (Spain) Mr. Robert Bordynuik - Sr Security Consultant, Versatile Solutions LLC (Saudi Arabia) Mr. Bruce Buckley -General Counsel, IIR Mr. French Caldwell - VP – Analyst, Gartner, Inc. Dr. Joseph V. Carcello – Ernst & Young Professor and Director of Research - Corporate Governance Center, University of Tennessee Mr. Anthony Chalker - Director, Protiviti Mr. Derek Cherneski - Business Continuity & Security Analyst, Federal Communications Commission (Canada)

Ms. Yo Delmar, CMC, CISM - Chief Marketing Officer, Brabeion Software Corporation Ms. Andrea Dias – Manager, ICTS Global (Brazil) Mr. Patrick Donovan – Chief Compliance Officer, Airbus SAS (France) Mr. Rory Douglas - Ethics Analyst Mr. Robert Drolet - Oracle Financials and GRC Professional, OraApps Consulting, Inc. Mr. Tim Elliott – Senior Vice-President, Operational Risk Director, Financial Intelligence Division, Comerica Bank Ms. Sheila Fields - Knowledge Management, HS FIDS Ms. Cyndi Fleming - Director of IM/IT, DTSSAB (Canada) Mr. Russ Gates – President, Dupage Consulting LLC Mr. Leon Goldman - Chief Compliance and Privacy Officer, Beth Israel Deaconess Medical Center

132

Mr. Royd Graham - Corporate Controller and Senior Director of Accounting, Academy Sports + Outdoors

Mr. Jorge Soeiro Marques - Chief Risk Officer, Lusitania Seguros (Portugal)

Mr. Luis Guadarrama - Sr. Data Security Consultant (Mexico)

Mr. Gabe Mazzarolo - VP – Technology, Pareto (Canada)

Mr. Richard Gudoi Gid'Agui, CIA, CGFM, CFSA, MSc. Audit(UK), MBA - Senior Lecturer / Program Coordinator Internal Auditing, School of Accountancy, Witwatersrand University (South Africa) Mr. Miguel Gutierrez, CISA, CISM - Director Global IT Risk & Compliance, International Information Technology, Brink's Incorporated Mr. Rodrigo Hayvard, Esq. (Chile) Mr. Michael Helmantoler – Business Continuity, Helmantoler.net Mr. Arnold Hill - Project Manager, Property Development Division – WPC, US General Services Administration Mr. Peter Hillier - Principal Consultant, Hillier Security Services (Canada)

Ms. Amelia McCarty - VP Ethics and Compliance, Cardinal Health Mr. Tlhabano Mmusi - Compliance Trainee (Botswana) Mr. Paul Moxey - Head of Corporate Governance and Risk Management, ACCA (Association of Chartered Certified Accountants)(UK) Ms. Florie Munroe - Vice President for Compliance, Health Quest Mr. Joe Nadivi - CEO, SBS (Israel) Mr. Warren Nelson - Risk Advisor, Risk & Assurance, Inland Revenue Department (New Zealand) Mr. Peter Parmenter – Director, Internal Controls, Biomed Realty Trust, Inc. Ms. Alice Peterson – President, Syrus Global

Mr. David Hoberg - Corporate Finance Manager, Voith Paper, Inc.

Ms. Diane Pettie - Vice President General Counsel & Corporate Secretary, Legal, Canexus Limited (Canada)

Mr. Matthew Hourin, - Senior Manager, Deloitte

Ms. Judy Pokorny – Director, Utilities Consulting, Huron Consulting

Mr. Jörgen Jarleman - Principal, JMC Management Consulting (Sweden) Mr. Anil Jhumkhawala – Director-Compliance, Secure Matrix I Pvt Ltd. (India) Mr. Jim Jolley - Training and Research Manager, Office of Communication and Professional Development, Florida Department of Revenue Mrs. Christiane Jourdain - Business Continuity Planning Project Manager, Sussex HIS, NHS (United Kingdom) Mr. Rodriguez Julio - Chief Compliance Officer, Banco Pastor (Spain) Mr. Daniel Karrer - E-Loan Inc (Brazil) Ms. Marion Keraudren Ms. Cary Klafter - VP Legal and Corporate Affairs and Corporate Secretary, Intel Corporation Mr. Sam Koh - Technical Manager, Vasco (Singapore) Mr. Alon Kohalny - CAE, Municipality of Kadima-Zoran (Israel)

Mr. Tobin Pospisil - Chief Financial Officer, Gallatin Steel Company Mr. Richard Poworski – ITA, SGI (Canada) Ms. Monika Rajh Mladenov – Auditor, The Court of Audit of the Republic of Slovenia (Slovenia) Mr. Bala Ramanan, -.Sr. Consultant, Microland Ltd (India) Mr. Javvadi H Rao, FICWA, ACA, CMA, CFM(USA) - Head of Risk Management, Agri Business Division, ITC Ltd. (India) Dr. Peter Reichard - Group Compliance Officer, Allianz Risk Transfer (Switzerland) Ms. Kim Rivera - VP Associate GC, The Clorox Company Mr. Joel Rogers – Director, Ethics & Corporate Compliance, Kaplan EduNeeringMs. Johanna Rogers - Chief Compliance Officer, SunGard Mr. Peter Rosenzweig - Senior Manager, Advisory Services, Ernst & Young LLP Mr. Stefano Rossi – Dott, Guidance SRL (Italy)

Mr. Richard Levy - Vice President of Engineering, Mitratech Holdings, Inc.

Ms. Mary Roth - Executive Director, RIMS (Risk and Insurance Management Society)

Ms. Adlinna Liang – Director, MetLife

Mr. Paul Russo - Systems Engineer, BAE Systems

Mr. Peter Liria – Director, Global Ethics & Compliance, Avaya Inc.

Ms. Karen Rutledge, -.Ethics & Compliance Specialist, PNM Resources, Inc.

Ms. Anna Luszpinska – Director, Prudential Regulations Department, Bank Zachodni WBK SA (Poland)

Mr. Richard Sanzin - Company Secretary, Royal Automotive Club of Victoria (RACV) Limited (Australia)

Mr. Andre Macieira – Director, ELO Group (Brazil)

Mr. Ram Sastry - Director - IT Audits

Prof. Andre Macieira- Assistant Professor, Concordia University

Mr. James Sehloff - Information Security Analyst, Holy Family Memorial

Ms. Marjorie A. Maguire-Krupp, CPA, CIA, CFSA – President, Coastal Empire Consulting

Mr. Bob Semple - PricewaterhouseCoopers LLP (Ireland)

133

Mr. Jerry Shafran - CEO, Compliance Assurance Corporation

Mr. Calvin Thompson - Manager, TSWCCUL (Bahamas)

Mr. Ken Shaurette - Engagement Manager, Jefferson Wells

Mr. Kevin Tisdel - Director of Corporate Compliance, Shaw Industries Group, Inc.

Ms. Monica Shilling – Partner, Proskauer Rose LLP

Mr. Dan Twing – COO, EMA (South Africa)

Mr. Jay Shinde, Assistant Professor, Eastern Illinois University

Mr. Pieter Van Hout, Ing Mba Mbci - Essent Corporation (Netherlands)

Ms. Elizabeth Siemens - Senior Legal Advisor Governance, Cameco Corporation (Canada)

Mr. Surya Vangara – SCSL (Trinidad and Tobago)

Mr. Samir Singh Mr. Mark Snyderman - Chief Ethics & Compliance Officer & Assistant General Counsel, The Coca-Cola Company Ms. Barbara Stegun Phair – Partner, Abrams Fensterman Fensterman Eisman Greenberg Formato & Einiger, LLP Ms. C Karen Stopford - AVP Information Security, The Commerce Insurance Company, Inc. Mr. Geoffrey Storms - Chief Internal Auditor, Cameco Corporation (Canada) Mr. Dan Swanson - President and CEO, Dan Swanson & Associates (Canada) Ms. Celia Szelwach - Ethics and Compliance Manager, PBS&J Ms. Heidi Teresi - Compliance Manager, Alcatel-Lucent Mr. Tim Tesluk - SVP, Greater China Legal & Compliance, DBS Bank (China)

Mr. Kishore Vekaria - Director.Secure Keys Consulting (Mauritius) Mr. Nitish Verma - Director Mr. Dean Wagers -SOX Compliance, The Kroger Co. Ms. Kathy Washenberger – IPSO, Hennepin County Mr. David Wassel - VP, Business Development, ZeroTouchWare Mr. Ian Lawrence Webster - Governance Officer, Performance Technologies (Brazil) Mr. Chip Weiant – Chair, American Center for Civic Character Ms. Mary Karen Wills – Partner, Consulting, Argy Wiltse & Robinson Ms. ChunHua Yang - Student, Southern Illinois University Ms. Jie Yang, MBA (China) Mr. Gunter Zimm

134