Comité de Gestión de Riesgos y Cumplimiento

1) Nombramiento y mandato

• forma y mantiene Risk Appetite y los principios de conformidad;
• Aprueba y modifica las políticas y normas clave;
• controla los riesgos clave (operaciones, regulación, IB/privacidad, finanzas, terceros);
• establece métricas y SLO/SLA de cumplimiento y supervisa su logro;
• aborda la escalada y el conflicto de prioridades;
• proporciona un estado «audit-ready» (base de pruebas, protocolos de soluciones).

2) Composición e independencia

• Supervisor de cumplimiento/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finanzas (para la evaluación de impacto)
• Representante de negocio/producto (VP/Director)
• Jefe de plataforma/infraestructura o CTO-delegate

• Auditoría interna (observador)
• HR/L & D (formación/certificación)
• Procurement/Vendor Mgmt (terceros)
• Data/Platform (DWH/Lineage/CCM)

Principios de independencia: ausencia de conflictos de intereses, documentación de recusals (desinversiones), fijación del papel de los observadores.

3) RACI del Comité

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Reglamento y periodicidad

Modo normal: una vez al mes (90 minutos) + monitoreo expreso semanal KPI/KRI (15 minutos).
Régimen de crisis (incidente/regulador): reuniones cada 24-48 h antes de la estabilización.
Quórum: ≥ 2/3 de los votantes, incluyendo un co-chair.
Soluciones: mayoría simple; por high-risk - 2/3 y el veto por co-chairs (fijar en el estatuto).

5) Artefactos entrantes (inputs)

Risk Register y Heatmap (KRI actualizados).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Cambiar registro de políticas (Mayor/Menor/Emergencia).
Registro de waivers con fechas de caducidad y controles compensatorios.
Incidents & Findings: Sev1/Sev2, repetibilidad, estado de remediación.
Vendor Risk: proveedores críticos, violaciones de SLA/certificados.
Auditoría/análisis: estados, comentarios abiertos, preparación «al botón».

6) Salidas y artefactos (outputs)

Protocolo de soluciones con owner, due date, severity y efecto de riesgo esperado.
Actualización de Risk Appetite Statement y prioridades.
Aprow/rechazo de políticas y excepciones (waivers) con condiciones.
Correos electrónicos/soluciones de escalamiento para Board/CEO en alta velocidad.
Comunicaciones one-pagers y tareas para comandos (tickets en ITSM/GRC).

7) Agenda modelo (60-90 minutos)

1. Resumen de KPI/KRI y desviaciones (10").
2. Incidentes/Sev1-actualizaciones y lecciones (15").
3. Políticas: Cambios mayores, interpretaciones conflictivas, localizaciones (15").
4. Terceros: infracciones de SLA/certificados, subprocesadores (10").
5. Waivers: extensión/cierre, zonas rojas (10").
6. Auditoría/evaluación: estado de preparación y "audit pack" (10").
7. Soluciones y asignación de tareas (10").

8) Procedimientos de toma de decisiones y escalamiento

Tarjeta de decisión (plantilla): contexto → opciones → impacto en el riesgo/costo → recomendación → votación.
Escalamiento: si el riesgo es> Appetite o retraso> SLA - llevar a Executive/Board.
Revisión: evaluación post-factum del efecto de la decisión en 30-60 días (impact review).

9) Integraciones y flujos de extremo a extremo

RBA (riesgo-auditoría): Findings → orden del día del Comité → owner/due → control de cierre.
CCM (monitoreo continuo): alertas/métricas → priorización de reglas/umbrales.
Policy Lifecycle/Change Mgmt: Edición mayor → apruve, comunicación, aprendizaje.
Vendor DD/Outsourcing: modelos de puntuación y hojas de datos → términos del contrato/SLA.
Incident Mgmt: SOAR/PR/Legal playbooks → informes y lecciones.

10) Métricas de la eficacia del Comité

Remisión en tiempo real:% de las tareas del Comité cerradas a tiempo (por severity).
Decision Lead Time: la mediana del tiempo desde que se plantea la cuestión hasta que se resuelve.
Waiver Hygiene:% de excepciones con fecha de caducidad actual (objetivo: 100%).
Repeat Findings: proporción de repeticiones en 12 meses (objetivo: ↓).
Audit Readiness Time: horas antes del «audit pack» completo.
Índice de reducción de riesgo: ∆ del score de riesgo total QoQ.
Comunicación SLA:% de los roles notificados a tiempo para las Soluciones Major.

11) Estatuto del Comité (plantilla)

Objetivo: supervisar los riesgos y la conformidad; protección de los intereses de la empresa y de los clientes.
Ámbito: todas las jurisdicciones/líneas de negocio/sistemas de TI/terceros.
Autoridad: aprobación de políticas/excepciones; solicitud de datos/auditorías; escalada en la Junta.
Composición y quórum: (ver § 2 y § 4).
Conflictos de interés: declaraciones, recusals, revista.
Protocolos: estándar de minúsculas completas (agenda, soluciones, voces, owner, due, enlaces a evidence).
Revisión de los estatutos: anual o a petición de la Junta.

12) Plantillas de documentos

12. 1 Decision Card

Tema/Contexto/Normas/Riesgos

Opciones y evaluación (costo, plazos, impacto en SLA/KRI)

Recomendación y nivel de riesgo después de la decisión

Propietario de la ejecución y plazo

Resultado de la votación (a favor/en contra/abstención)

12. 2 Acta de la reunión

Fecha/quórum/participantes

Agenda

Debate (breve, por temas)

Soluciones (owner, due, métricas de éxito)

Preguntas abiertas/escalamiento

Aplicaciones (dashboards, informes, enlaces al archivo WORM)

12. 3 Matriz Risk Appetite (ejemplo)

13) Dashboards del Comité (mínimo)

Risk Heatmap: probabilidad × impacto × riesgo residual.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, repetibilidad.
Cambios de política: transportador Major/Minor/Emergency y estado de aprendizaje.
Vendor Risks: certificados, SLA, subprocesadores, incidentes.
Waivers & Deadlines: activas/caducadas, escaladas.
Audit Readiness: porcentaje de «audit pack» en auditorías/certificaciones.

14) Calendario del año del Comité

Mensual: citación regular (§ 7).
Trimestral: revisión de Risk Appetite, tendencias de KPI/KRI, total de findings.
Medio año: revisión de las políticas clave y la cartera de waivers.
Anualmente: estatutos del Comité, plan de auditorías/certificaciones, contabilidad de lecciones.

15) Régimen de crisis (Sev1/Regulatory)

Convocatoria inmediata; battle-rhythm actualizaciones (por ejemplo, cada 4 h).
Comunicación Única (Legal/PR), Control Legal Hold.
Soluciones de contorno de acceso/desactivación de integraciones/aislamiento de datos.
Protocolo separado de incidente y post-mortem con acciones.

16) Antipattern

El Comité es como un «buzón» sin poderes y sin deadline.
La falta de informes y pruebas es polémica en la auditoría.
Waivers eternos sin fecha de caducidad y controles compensatorios.
Agendas pendientes: no hay tarjetas de decisión, no hay opciones y evaluación de efectos.
KPI sin propietarios y comunicación con Risk Appetite.
Conflictos de intereses sin recusals gestionados.

17) Modelo de madurez del Comité (M0-M4)

M0 Ad-hoc: reuniones raras, sin métricas ni protocolos.
M1 Formalizado: estatutos, quórum, protocolos básicos, reuniones mensuales.
M2 Manejable: dashboards KPI/KRI, cards de decisión, waivers de control.
M3 Integrado: comunicación con CCM/RBA/Policy-as-Code, «audit-ready por botón».
M4 Assured: KRI predictivo, escalada automática, soluciones de revisión de impacto regular.

18) Artículos relacionados wiki

Auditoría orientada al riesgo (RBA)

Monitoreo continuo de cumplimiento (CCM)

KPI y métricas de cumplimiento

Administrar cambios en la política de cumplimiento

Ciclo de vida de políticas y procedimientos

Due Diligence y riesgos de externalización

Legal Hold y congelación de datos

Resultado

Un Comité fuerte no es una «reunión», sino un mecanismo de gestión de riesgos: mandato claro, independencia y quórum, datos en dashboards, decisiones con propietarios y plazos, control de ejecución y base probatoria. Entonces el cumplimiento se convierte en un pilar predecible de la estrategia, no en un freno al negocio.