Demostración del cumplimiento

Con miles de estándares de la industria, políticas internas y requisitos normativos en constante cambio, optimizar la cobertura en un entorno de cumplimiento cambiante puede ser intimidante. Es vital que las organizaciones implementen los procesos y la tecnología necesarios para identificar, racionalizar, priorizar y mitigar adecuadamente el riesgo de cumplimiento. En este artículo, analizamos cómo demostrar el aseguramiento en un programa de cumplimiento utilizando las aplicaciones Proyectos, Marcos y Mapas de cumplimiento.

Este artículo ilustra cómo demostrar el cumplimiento con el Marco COBIT® 5. Sin embargo, el mismo flujo de trabajo también se puede aplicar para demostrar el cumplimiento con:

  • normas que se aplican a las instituciones financieras, tales como la ley de veracidad en los préstamos, antilavado de dinero o seguro de depósitos
  • otros marcos de seguridad de los sistemas, como ISO o NIST
  • normativa sobre la privacidad de los datos, como el Reglamento General de Protección de Datos de la Unión Europea (UE GDPR), la Ley Gramm Leach Bliley (GLBA), la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y la Ley de Privacidad y Derechos Educativos de la Familia (FERPA)
  • regulaciones que se aplican al gobierno o a la educación superior, tales como la guía uniforme de subvenciones (Uniform Grant Guidance), auditoría única (Single Audit) o título IV (Title IV)

¿Qué significa demostrar el cumplimiento?

Demostrar el cumplimiento significa que una organización se compromete a realizar negocios de conformidad con las normas y estándares que se les aplican.

Demostrar el cumplimiento no solo consiste en demostrar que se han cumplido los requisitos de cumplimiento, sino también en demostrar cómo se cumplen los requisitos y qué programas estructurados existen para permitir el cumplimiento continuo.

¿Dónde demuestro el cumplimiento?

En Diligent utilizamos las aplicaciones Proyectos, Marcos y Mapas de cumplimiento para certificar a los evaluadores y otros terceros interesados que existe un fuerte entorno de control. Nuestro programa de cumplimiento previene la exposición de la organización a filtraciones de datos y a la violación de las medidas de aplicación de la norma. También nos permite colaborar con partes interesadas que deben cumplir con varios estándares y normas.

La visión general

  • Mapas de cumplimiento es donde los equipos de cumplimiento pueden realizar la evaluación inicial de la brecha entre el cumplimiento y los riesgos, asignando los requisitos a los controles organizacionales existentes contenidos en los marcos.
  • Marcos se utilizan en conexión con Mapas de cumplimiento para capturar de forma centralizada la relación maestra entre requisitos y controles, administrar los cambios en los controles en un entorno regulatorio y empresarial en evolución y crear proyectos individuales.
  • Proyectos se utiliza para probar el diseño y la efectividad operativa del control y para capturar asuntos. Si es necesario, también puede sincronizar los cambios a un marco desde un proyecto.

Cuando asigna requisitos a los controles del marco, los resultados de las pruebas y los asuntos de varios proyectos se agregan automáticamente al mapa de cumplimiento, lo que le permite realizar el seguimiento y hacer reportes sobre el estado del cumplimiento en tiempo real.

Pasos

¿Listo para una visita guiada?

Echemos un vistazo más de cerca a estas características en el contexto.

1. Configurar el programa

El primer paso para desarrollar su programa de cumplimiento es configurar sus proyectos y marcos. Puede crear marcos para administrar un conjunto estructurado de información y usar marcos para construir múltiples proyectos. También puede personalizar la terminología y las etiquetas de los proyectos de acuerdo con los estándares de su organización y sincronizar los cambios a un marco desde un proyecto si desea aplicar esos cambios a otros proyectos.

Configurar proyectos y marcos

Los marcos son útiles para reducir los esfuerzos manuales relacionados con la configuración de proyectos y se pueden utilizar para administrar centralmente la información en entornos normativos y comerciales en evolución.

Configurar la terminología del proyecto

La terminología puede variar ampliamente entre los distintos tipos de proyectos y también entre las organizaciones que realizan el mismo tipo de proyectos. Las organizaciones pueden configurar los diferentes tipos de proyectos para que la terminología utilizada por cada equipo se refleje en los proyectos relevantes.

2. Identificar los documentos fidedignos

Una vez que haya configurado sus proyectos y marcos, el siguiente paso es identificar los documentos fidedignos que son aplicables a su organización e incluir estos documentos en su mapa de cumplimiento.

Los documentos fidedignos pueden adoptar la forma de normas publicadas por un organismo regulador, como un gobierno, estándares profesionales publicados por un organismo de práctica profesional o una asociación comercial, o políticas o procedimientos internos publicados por la gerencia ejecutiva.

Consejo

Ciertos estándares y normas están disponibles como parte de su plan de suscripción regular. Los estándares y las normas adicionales están disponibles al suscribirse a las suites de contenidos ofrecidas a través de Galería de contenidos e inteligencia , un repositorio central para contenido específico de la industria que puede utilizarse en productos de Diligent.

3. Interpretar y racionalizar los requisitos

Una vez que haya importado el contenido relevante a su mapa de cumplimiento, puede realizar una evaluación del riesgo de cumplimiento e iniciar el proceso de interpretación y racionalización de los requisitos. Usted tiene control total sobre el proceso interno de cumplimiento, incluyendo definir en qué lugar del espectro desea caer, y el nivel de cobertura de cumplimiento que desea alcanzar.

Realizar una evaluación de riesgos del cumplimiento

Las organizaciones que implementan programas de cumplimiento de alta calidad participan en la identificación y evaluación sistemáticas de los riesgos. Las evaluaciones de riesgos del cumplimiento proporcionan los medios para evaluar la aplicabilidad de normas o estándares, priorizando los estándares o normas que deben administrarse primero y reportando cuáles requisitos pueden ser aplicables a la organización.

Identificar los requisitos aplicables y cubiertos

Una vez que haya completado la evaluación de riesgos de cumplimiento, puede comenzar el proceso de identificación de los requisitos aplicables y cubiertos.

Hay dos métodos principales que puede utilizar para interpretar y racionalizar los requisitos:

  • Abordar todo exactamente en la forma indicada por el requisito e implementarlo de conformidad reduce el riesgo de incumplimiento pero aumenta la carga de implementar y administrar el cumplimiento
  • Interpretar los requisitos aplicando un criterio profesional y racionalizar la cobertura óptima suficiente para la organización reduce la carga del cumplimiento pero puede aumentar el riesgo de incumplimiento para la organización

Consejo

Una buena estrategia de cumplimiento intenta racionalizar los cambios requeridos en los procesos y controles para maximizar la cobertura de cumplimiento aprovechando el mayor número posible de los procesos existentes.

4. Realizar proyectos de certificación

Utilizando marcos como repositorio centralizado de la información, puede ejecutar proyectos de certificación para realizar evaluaciones de los riesgos operacionales, trabajar con los propietarios de los controles para realizar un seguimiento central del rendimiento del cumplimiento en todos los objetivos y capturar asuntos. La realización de proyectos de certificación le permite comparar cómo se desempeña su organización en la administración del riesgo de cumplimiento y los requisitos.

Realizar evaluaciones del riesgo operacional

La realización de una evaluación del riesgo operacional es un proceso que implica determinar a cuánto riesgo se enfrenta una organización. Puede desarrollar un conjunto común de criterios de evaluación que se puedan utilizar en todos los segmentos operativos, entidades o unidades de negocio, y calificar los riesgos operativos en función del marco de calificación definido.

Consejo

Para evitar calificar manualmente los riesgos operacionales, puede utilizar los controladores de evaluación para automatizar diferentes evaluaciones de riesgos. Puede enlazar una medida creada en la aplicación Resultados a una evaluación de riesgos en Proyectos para hacer reportes sobre la evaluación y completar automáticamente las calificaciones de riesgo inherentes de acuerdo con los rangos predefinidos de las medidas.

Documentar y evaluar los controles

Los propietarios del control pueden contribuir en documentar la existencia de los controles implementados y evaluar su efectividad a través de la certificación y/o la evidencia que se adjunta, definir planes de acción para implementar los controles faltantes para tratar las instancias de incumplimiento o explicar por qué no es necesario un control.

Consejo

Los operadores de primera línea de una organización pueden usar la aplicación Control de la misión para administrar los controles a los que tienen acceso, fuera de la aplicación Proyectos. Control de la misión es una aplicación que presenta información de control desde Proyectos en una vista simplificada y centralizada.

Capturar asuntos y acciones

Puede capturar y asignar asuntos marcados para corrección a lo largo del proceso de revisión del cumplimiento y delegar asuntos a los propietarios del control o de los asuntos para actualizar el estado y los planes de acción relacionados. También puede asignar acciones a cualquier parte interesada para facilitar el seguimiento, la captura de pruebas y la resolución.

5. Reportar sobre el estado de cumplimiento

En última instancia, el cumplimiento es el resultado de ejecutar un programa bien administrado y bien controlado. Los mapas de cumplimiento proporcionan la posibilidad de que las tres líneas de defensa obtengan rápidamente una idea del trabajo que está realizando cada departamento y se vea información agregada en tiempo real.

Para demostrar el progreso en el cumplimiento, puede calificar el aseguramiento del cumplimiento con una sola medida general (Cobertura). Esta medida única y general proporciona a la gerencia una comprensión instantánea del grado en que la organización cumple, ordenado por regulación, procesos de negocios o entidad. En cualquier momento, usted también puede generar reportes en tiempo real para comunicar el estado de las diversas áreas de control así como el progreso del programa en general.

¿Qué sigue?

Aprenda cómo implementar y automatizar un programa de cumplimiento

La aplicación Resultados permite a los evaluadores capturar incidentes a través de estudios analíticos de datos, definir flujos de trabajo disparados para administrar incidentes, realizar análisis de las causas principales y las actividades de las acciones correctivas, y cerrar casos una vez que estén listos para la generación de reportes.

Para obtener más información, consulte Implementación de un programa de cumplimiento.