Resumen: En la elaboración de
cualquier proceso documentado implantado en una organización y perteneciente a un Sistema de Gestión (SG) o (MS
en inglés), ya sea éste de calidad, seguridad,
continuidad…, un elemento importante es el conocido como matriz RACI, cuyo
análisis minucioso nos ha de permitir obtener interesantes conclusiones avaladas
por las mejores prácticas de ITIL:2011. [4] Esto es especialmente cierto si hablamos
de un CMS o Compliance Management System, cuyo objetivo fundamental es prevenir
la comisión de delitos en el seno de la persona jurídica.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
2 de agosto de 2015
|
Nota del editor: En lengua española, las siglas SGC que traducirían las de CMS en inglés
son de confusa utilización, ya que desde 1987, que es cuando apareció
oficialmente la primera versión de la norma ISO 9001:1987, designan al Sistema
de Gestión de la Calidad (SGC). Este es el motivo de que momentáneamente, y
para evitar confusiones, me refiera al Sistema de Gestión del Cumplimiento por
sus siglas en inglés (CMS) y no por SGC.
ÍNDICE
1. Roles,
responsabilidad y autoridad en los Sistemas de Gestión1.1. Introducción
1.2. La norma ISO 19600:2014, de Gestión del Cumplimiento
1.3. Desarrollo de la cláusula de roles, responsabilidad y autoridad
2. El documento de roles, responsabilidad y autoridad
3. La Matriz RACI
4. Análisis de la matriz RACI
4.1. Introducción
4.2. Reglas de composición de la matriz RACI
4.3. Análisis por filas de la matriz RACI
4.4. Análisis por columnas de la matriz RACI
4.5. Análisis desde el punto de vista del Compliance
5. Bibliografía consultada
6. Derechos de autor
1. Roles,
responsabilidad y autoridad en los Sistemas de Gestión
1.1.
Introducción
A partir de la aprobación del “anexo SL” [1] en
el año 2012, que describe el marco para un sistema de gestión genérico basado
en una estructura de Alto Nivel (HLS), todas
las normas ISO que vayan surgiendo, o aquellas que se actualicen a una nueva
versión, deberán adaptarse
obligatoriamente a esa estructura.
En el título 5 “Liderazgo” del primer nivel de cláusulas,
encontramos como segundo nivel, habitualmente cómo cláusula 5.3, la
correspondiente a “Roles,
responsabilidades y autoridades en la organización”.
En ella se cita a tenor literal:
“La alta dirección debe asegurarse de que las
responsabilidades y autoridades para los roles pertinentes a [el objeto de la
Norma concreta] se asignen y comuniquen dentro de la organización.
La alta dirección debe asignar la responsabilidad y
autoridad para:
a) Asegurarse de que el sistema de gestión es conforme
con los requisitos de esta norma internacional; e
b) Informar a la alta dirección sobre el
comportamiento del sistema de gestión”.
Nota del Editor: En la norma ISO 27001:2013 de Gestión de Seguridad de la Información, la
cláusula de “roles, responsabilidad y
autoridad en la oganización” es la 5.3. En la norma ISO 22301:2012 de
Gestión de la Continuidad del Negocio, es la cláusula 5.4. (Es una excepción ya
que fue la primera aproximación al anexo SL), en el borrador de la nueva
versión pendiente de publicar de la norma ISO 9001:2015, también es la cláusula
5.3, al igual que en la norma ISO 19600:2014 de Gestión del Cumplimiento.
1.2. La norma ISO 19600:2014, de Gestión del Cumplimiento
En el CMS sobre Compliance definido en la Norma
ISO 19600:2014 [2],
que también se ajusta al anexo SL, la cláusula 5.3 sobre “Roles, responsabilidades y autoridades en la organización” tiene
una serie de peculiaridades que conviene comentar.
Está dividida en varias cláusulas de tercer
nivel, con la siguiente estructura normativa:
- 5.3.1. General. Es idéntica a la estándar que he incluido en el apartado 1.1 de este artículo y que será común a todas las normas ISO.
- 5.3.2. Asignar responsabilidad para el cumplimiento en la organización. Cita que la participación activa y supervisión de los órganos de gobierno y la alta dirección es una parte integral de un sistema eficaz de gestión del cumplimiento. Expone que muchas organizaciones tienen una persona dedicada al cumplimiento, por ejemplo un Compliance Officer, responsable del día a día de la gestión del cumplimiento, y algunas tienen un comité de cumplimiento con funciones cruzadas para coordinar el cumplimiento en toda la organización. Algunas organizaciones - dependiendo de su tamaño -también tienen a alguien con la responsabilidad general de gestión de cumplimiento (CCO), aunque esto puede ser complementario a otros roles o funciones que tenga la organización, incluyendo comités existentes, unidades organizativas, o a subcontratar a expertos externos de cumplimiento. Esto no debe ser visto como relevar a otros niveles de la gestión de sus responsabilidades de cumplimiento, dado que todos los gestores o responsables de área tienen un papel que desempeñar en relación con el sistema de gestión de cumplimiento. Es por ello importante que sus respectivas responsabilidades estén claramente establecidas y se incluyan en las descripciones de sus puestos de trabajo.
- 5.3.3. Órgano de gobierno y rol y responsabilidades de la alta dirección. Aquí se describen los deberes del órgano de gobierno y de la alta dirección.
- 5.3.4. La función de Compliance. En esta cláusula se citan las funciones del Compliance Officer y se cuida que no se produzcan situaciones de conflicto de intereses. Es muy importante que las funciones y responsabilidades del Compliance Officer, y sus relaciones con las del órgano de gobierno corporativo, queden completamente detalladas para evitar potenciales imputaciones si se comete un delito en el seno de la organización, en base a su “deber de garante”. Recomiendo consultar el apartado “5. El deber de garante del CCO en la PJ” [3] referenciado en la bibliografía consultada al final de este artículo.
- 5.3.5. Responsabilidades de gestión. Los gestores de las diferentes áreas de la organización deben ser responsables del cumplimiento dentro de su parcela de responsabilidad, dando soporte y colaborando con la función de Compliance corporativo. En esta cláusula se desarrolla esta idea.
- 5.3.6. Responsabilidad de los empleados. Se citan aquí todas las obligaciones y responsabilidades de los empleados según su posición y funciones en la organización.
1.3. Desarrollo de la cláusula de roles, responsabilidad y autoridad
En el alcance del Sistema de Gestión suelen
llevarse a cabo varias acciones diferenciadas para desarrollar lo que dispone
esta cláusula:
- Elaborar un documento de “roles, responsabilidades y autoridad”, donde se especifiquen todos los roles significativos relacionados, de una manera u otra, con el Sistema de Gestión.
- Definir las fichas de los diferentes puestos de trabajo, indicando claramente el desempeño establecido, las competencias en forma de formación y experiencia necesarias, las relaciones con otros puestos y, especialmente, los requerimientos del puesto respecto al objeto del sistema de gestión. Las fichas se complementarán mediante un organigrama funcional de la organización.
- En la información documentada de cada uno de los diferentes procesos, que conformarán el Sistema de Gestión, se añadirá un apartado que contenga una “matriz RACI” que describiremos más adelante.
2. El
documento de roles, responsabilidad y autoridad
Se trata de un documento que define los
diferentes roles involucrados en el Sistema de Gestión.
Podríamos distinguir diferentes tipologías de
roles y comités, en función del tipo Sistema de Gestión de que se trate, ya sea
aislado o integrado por varias normas:
- Roles y comités de dirección en la organización.
- Roles y comités responsables del propio sistema de gestión.
- Roles relacionados con la materia objeto del SG concreto.
- Roles transversales (auditoría interna, RR.HH., Jurídico).
- Etc.
Para cada rol o comité, se indicará:
- La definición del rol o comité.
- La enumeración exhaustiva de sus diferentes funciones.
- Las principales relaciones y dependencias con otros roles y comités.
Una persona puede tener más de un rol,
especialmente en organizaciones que no dispongan de suficientes recursos
humanos asignados en el alcance del sistema de gestión.
3. La Matriz RACI
La matriz RACI o de asignación de
responsabilidades (RACI son las iniciales inglesas de los tipos de
responsabilidad) se utiliza en las descripciones de los diferentes procesos de
un Sistema de Gestión para relacionar todas las actividades identificadas en
ellos, con roles, comités o áreas. De esta manera se logra asegurar que
cada una de las actividades dentro del alcance esté asignada, al menos, a un
individuo o a un equipo.
Rol
|
Descripción
|
||
R
|
Responsible
|
Responsable
|
Este rol corresponde a quien efectivamente realiza
la tarea o ostenta la coordinación para que se lleve a cabo la actividad.
|
A
|
Accountable
|
Rinde cuentas
|
Este rol se compromete a que la actividad se realice
y es quien debe rendir cuentas sobre su ejecución. Para una misma actividad,
solo puede existir una única persona que rinda cuentas (A) de que la tarea
sea ejecutada por su responsable o su equipo (R).
|
C
|
Consulted
|
Consultado
|
Este rol o área dispone de alguna información o
capacidad necesaria para realizar una tarea o llevar adelante la actividad. Normalmente
se le informa de la actividad sobre la que se le consulta, por lo que la
comunicación es bidireccional.
|
I
|
Informed
|
Informado
|
Este
rol o área debe ser informado sobre el avance y los resultados de la
ejecución de la tarea. A diferencia del consultado (C), la comunicación es
unidireccional.
|
Como ejemplo ilustrativo, en un sistema
integrado de gestión, basado en las normas ISO 20000-1 de gestión de servicios
e ISO 27001 de gestión de seguridad de la información, el proceso documentado
de “gestión de incidencias y peticiones de servicio” podría tener la siguiente
matriz RACI:
4. Análisis
de la matriz RACI
4.1.
Introducción
He comentado que la matriz RACI relaciona las
diferentes actividades identificadas en los procesos del sistema de gestión con
roles, comités o áreas.
Para componerla colocaremos:
- En el eje vertical las diferentes actividades que constituyen el proceso.
- En el eje horizontal los diferentes roles, comités o áreas identificados como relacionados con el proceso.
Una vez compuesta la matriz, para cada fila, que
se corresponde con una actividad del proceso, se asignan los códigos RACI con
que interviene cada rol, comité o área.
Obviamente, el consultor deberá comunicar la
matriz RACI a las partes interesadas involucradas en el proceso, para que
revisen su columna de implicación valorada con (R, A, C, I o nada) en cada una
de las diferentes actividades del proceso.
4.2. Reglas
de composición de la matriz RACI
Existen diferentes reglas
que buscan la eficacia y la eficiencia del proceso del cual estamos
representando la matriz RACI:
- Cada actividad debe tener un único rol que tenga la autoridad para rendir cuentas (A – Accountable). A no ser que el proceso sea transversal a más de un área de la organización, habitualmente todas las (A) estarán en la misma columna.
- Los roles o comités con algún código RACI tipo (A) en su columna, deben tener delegada por la Alta dirección, o los órganos de gobierno corporativo, la autoridad suficiente para desempeñar sus funciones.
- Los roles con alguna (R) deben referirse a actividades que tengan sus tareas claramente definidas.
- El flujo de la actividad, y por extensión del proceso, que dispone de roles asignados en la matriz RACI tipo (C), debe detenerse hasta disponer de la información necesaria que deba ser consultada a ese rol. La marcha del proceso depende de las (C), en cambio no se detiene por las (I) ya que únicamente requieren un envío de información.
- Los códigos RACI (I) y (C) deben ser tenidos en cuenta en todas las situaciones, incluyendo los correos electrónicos. Un ejemplo sería que, en ausencia de (I – Informado) ese rol no debe aparecer en la lista de distribución de información de determinada actividad del proceso, ni aparecer en el apartado de “con copia a” del correo electrónico dirigido a las partes interesadas de esa actividad.
4.3. Análisis
por filas de la matriz RACI
El análisis por filas, u horizontal, se refiere
a analizar, una a una, las diferentes actividades del proceso dentro de la
matriz RACI. De él se puede deducir:
- Ausencia de (A) significa que nadie garantiza que la actividad se lleve a cabo (falta de autoridad), mientras que dos o más (A) representa un conflicto de autoridad. Es imprescindible que haya un único rol para rendir cuentas (A) por actividad.
- Dos o más responsables (R) de ejecutar una tarea significa que posiblemente hubiera sido mejor dividir la actividad en tantas otras como (R) haya. La ausencia de (R) podría indicar que no se ha representado en el eje horizontal de la matriz un rol necesario o, lo que es peor, que no lo tengamos definido en el documento de “roles, responsabilidades y autoridad”.
- Demasiadas (C) en una misma actividad puede denotar un exceso de especialización que puede llegar a ralentizarla, o excesivas comprobaciones o controles por exceso de celo o por inseguridad en las competencias de los roles. Posiblemente deberán cruzarse los requerimientos de los diferentes puestos de trabajo con las competencias reales de los empleados y, en base a ello, podría llegar a modificarse el “programa anual de formación” establecido en “7.2 Competencia” dentro del sistema de gestión.
- Demasiadas (I) puede denotar un bombardeo de información irrelevante a las diferentes partes interesadas.
- Carencia de (C) o (I) puede denotar falta de comunicación, por lo que deberemos revisar el proceso establecido en “7.4 Comunicación” dentro del sistema de gestión.
4.4. Análisis por columnas de la matriz RACI
El análisis por columnas, o vertical, se refiere a
analizar las diferentes partes interesadas con un rol asignado en el proceso,
dentro de la matriz RACI. De él se puede deducir:
- Demasiadas (A) para un mismo rol, suele indicar que se trata de un proceso vertical asignado a una única área de la organización y el responsable de esa área asume el rol, o bien que se ha designado a un único propietario del proceso y coincide con él.
- Demasiadas (R) para un mismo rol, dentro del proceso, podría evidenciar una sobrecarga de trabajo para ese rol que llegara a ralentizar el proceso en su conjunto por problemas de agenda motivados por un desequilibrio en la asignación de funciones.
- Ausencia de (A) o (R) significa que no es un rol operativo. Si únicamente se le asigna (C) es consultivo y si solo dispone asignada una (I) es de control. Si no dispone de asignaciones, podemos prescindir de él en este proceso.
- Demasiadas (C) significa que ese rol debe ser consultado y es imprescindible para muchas actividades del proceso. Podría denotar un cuello de botella en ese rol.
- Demasiadas (I) podría representar un exceso de burocracia. Inundar de información sin ser necesaria es contraproducente al ocultar la información realmente útil. Podría pensarse en una actividad adicional del proceso que fuera la obtención y distribución de un informe ejecutivo resumen.
4.5. Análisis desde el punto de vista del Compliance
-
Excesivas (A), podría significar una falta de delegación de autoridad, siempre que se dé en varios procesos de la organización. únicamente en uno, como he indicado antes, puede representar que se actúe como propietario de un proceso.
- Confluencia de (A) y (R) en un mismo rol dentro de una actividad puede denotar una falta de segregación entre la función de ejecución y la de supervisión y rendición de cuentas que, si se repite varias veces en el proceso, puede provocar un entorno propicio a la falta de cumplimiento que debe seguirse con atención, especialmente si la actividad carece de (I) que actúen como control y no se audite regularmente ese proceso.
- Concentración de (R) para un mismo rol en actividades que deben ser independientes entre sí, puede denotar falta de segregación de funciones que ocasione un conflicto de intereses.
5.
Bibliografía consultada
- [1] José Luis Colom. “Integrar diferentes normas ISO
gracias al Anexo SL (antes ISO Guide 83)”. Blog Aspectos profesionales. Junio
de 2013.
Integrar diferentes normas
- [2] ISO.ORG. International
Standard ISO 19600:2014. “Compliance management systems — Guidelines”. First
edition 2014-12-15.
- [3] José Luis Colom. “Responsabilidad por deber de
garante: Aplicación al CCO y al DPO”. Capítulo 5. “El deber de garante del CCO
en la PJ”. Blog Aspectos profesionales. Mayo de 2015.
Responsabilidad por deber de garante
- [4] Information Technology
Infrastructure Library. ITIL:2011 Service Design. Best
Management Practice. “3.7.4.1. Designing roles – the RACI model”. Page 64 to
68.
6.
Derechos de autor
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.