Aproximacin al anlisis de los roles definidos en los

procesos de un Sistema de Gestin

Resumen: En la elaboracin de cualquier proceso
documentado implantado en una organizacin y
perteneciente a un Sistema de Gestin (SG) o (MS en
ingls), ya sea ste de calidad, seguridad,
continuidad, un elemento importante es el conocido
como matriz RACI, cuyo anlisis minucioso nos ha de
permitir obtener interesantes conclusiones avaladas
por las mejores prcticas de ITIL:2011. [4] Esto es
especialmente cierto si hablamos de un CMS o
Compliance Management System, cuyo objetivo
fundamental es prevenir la comisin de delitos en el
seno de la persona jurdica.
Autor del artculo

Colaboracin

Jos Luis Colom

Planas
Actualizado

2 de
agosto de
2015

Nota del editor: En lengua espaola, las siglas SGC

que traduciran las de CMS en ingls son de confusa
utilizacin, ya que desde 1987, que es cuando
apareci oficialmente la primera versin de la norma
ISO 9001:1987, designan al Sistema de Gestin de la
Calidad (SGC). Este es el motivo de que
momentneamente, y para evitar confusiones, me

refiera al Sistema de Gestin del Cumplimiento por

sus siglas en ingls (CMS) y no por SGC.
NDICE
1. Roles, responsabilidad y autoridad en los
Sistemas de Gestin
1.1. Introduccin
1.2. La norma ISO 19600:2014, de Gestin del
Cumplimiento
1.3. Desarrollo de la clusula de roles, responsabilidad
y autoridad
2. El documento de roles, responsabilidad y
autoridad
3. La Matriz RACI
4. Anlisis de la matriz RACI
4.1. Introduccin
4.2. Reglas de composicin de la matriz RACI
4.3. Anlisis por filas de la matriz RACI
4.4. Anlisis por columnas de la matriz RACI
4.5. Anlisis desde el punto de vista del Compliance
5. Bibliografa consultada
6. Derechos de autor

1. Roles, responsabilidad y autoridad en

los Sistemas de Gestin
1.1. Introduccin

A partir de la aprobacin del anexo SL [1]en el ao

2012, que describe el marco para un sistema de
gestin genrico basado en una estructura de Alto
Nivel (HLS), todas las normas ISO que vayan
surgiendo, o aquellas que se actualicen a una nueva
versin, debern adaptarse obligatoriamente a esa
estructura.
En el ttulo 5 Liderazgo del primer nivel de
clusulas,
encontramos
como
segundo
nivel,
habitualmente cmo clusula 5.3, la correspondiente
a Roles, responsabilidades y autoridades en la
organizacin.
En ella se cita a tenor literal:
La alta direccin debe asegurarse de que las
responsabilidades y autoridades para los roles
pertinentes a [el objeto de la Norma concreta] se
asignen y comuniquen dentro de la organizacin.
La alta direccin debe asignar la responsabilidad y
autoridad para:
a) Asegurarse de que el sistema de gestin es
conforme con los requisitos de esta norma
internacional; e

b)
Informar
a
la
alta
direccin
comportamiento del sistema de gestin.

sobre

el

Nota del Editor: En la norma ISO 27001:2013 de

Gestin de Seguridad de la Informacin, la clusula de
roles, responsabilidad y autoridad en la
oganizacin es la 5.3. En la norma ISO 22301:2012
de Gestin de la Continuidad del Negocio, es la
clusula 5.4. (Es una excepcin ya que fue la primera
aproximacin al anexo SL), en el borrador de la nueva
versin pendiente de publicar de la norma ISO
9001:2015, tambin es la clusula 5.3, al igual que en
la norma ISO 19600:2014
de Gestin
del
Cumplimiento.
1.2. La norma ISO 19600:2014, de Gestin del
Cumplimiento
En el CMS sobre Compliance definido en la Norma ISO
19600:2014 [2], que tambin se ajusta al anexo SL, la
clusula 5.3 sobre Roles, responsabilidades y
autoridades en la organizacin tiene una serie de
peculiaridades que conviene comentar.

Est dividida en varias clusulas de tercer nivel, con la

siguiente estructura normativa:

5.3.1. General. Es idntica a la estndar que he

incluido en el apartado 1.1 de este artculo y que ser
comn a todas las normas ISO.

5.3.2. Asignar responsabilidad para el

cumplimiento en la organizacin.Cita que la
participacin activa y supervisin de los rganos de
gobierno y la alta direccin es una parte integral de un
sistema eficaz de gestin del cumplimiento. Expone
que muchas organizaciones tienen una persona
dedicada al cumplimiento, por ejemplo un Compliance
Officer, responsable del da a da de la gestin del
cumplimiento, y algunas tienen un comit de
cumplimiento con funciones cruzadas para coordinar
el cumplimiento en toda la organizacin. Algunas
organizaciones - dependiendo de su tamao -tambin
tienen a alguien con la responsabilidad general de
gestin de cumplimiento (CCO), aunque esto puede
ser complementario a otros roles o funciones que
tenga la organizacin, incluyendo comits existentes,
unidades organizativas, o a subcontratar a expertos
externos de cumplimiento. Esto no debe ser visto
como relevar a otros niveles de la gestin de sus
responsabilidades de cumplimiento, dado que todos
los gestores o responsables de rea tienen un papel
que desempear en relacin con el sistema de gestin
de cumplimiento. Es por ello importante que sus
respectivas responsabilidades estn claramente
establecidas y se incluyan en las descripciones de sus
puestos de trabajo.

5.3.3. rgano
de
gobierno
y
rol
y
responsabilidades de la alta direccin. Aqu se
describen los deberes del rgano de gobierno y de la
alta direccin.

5.3.4. La funcin de Compliance. En esta

clusula se citan las funciones del Compliance Officer
y se cuida que no se produzcan situaciones de
conflicto de intereses. Es muy importante que las
funciones y responsabilidades del Compliance Officer,
y sus relaciones con las del rgano de gobierno
corporativo, queden completamente detalladas para
evitar potenciales imputaciones si se comete un delito
en el seno de la organizacin, en base a su deber de
garante. Recomiendo consultar el apartado 5. El
deber de garante del CCO en la PJ [3] referenciado
en la bibliografa consultada al final de este artculo.

5.3.5. Responsabilidades de gestin. Los

gestores de las diferentes reas de la organizacin
deben ser responsables del cumplimiento dentro de su
parcela de responsabilidad, dando soporte y
colaborando
con
la
funcin
de
Compliance
corporativo. En esta clusula se desarrolla esta idea.

5.3.6. Responsabilidad de los empleados. Se

citan aqu todas las obligaciones y responsabilidades
de los empleados segn su posicin y funciones en la
organizacin.
1.3. Desarrollo de la clusula
responsabilidad y autoridad

de

roles,

En el alcance del Sistema de Gestin suelen llevarse a

cabo varias acciones diferenciadas para desarrollar lo
que dispone esta clusula:

Elaborar
un
documento
de
roles,
responsabilidades y autoridad, donde se especifiquen
todos los roles significativos relacionados, de una
manera u otra, con el Sistema de Gestin.

Definir las fichas de los diferentes puestos de

trabajo,
indicando
claramente
el
desempeo
establecido, las competencias en forma de formacin
y experiencia necesarias, las relaciones con otros
puestos y, especialmente, los requerimientos del
puesto respecto al objeto del sistema de gestin. Las
fichas se complementarn mediante un organigrama
funcional de la organizacin.

En la informacin documentada de cada uno de

los diferentes procesos, que conformarn el Sistema
de Gestin, se aadir un apartado que contenga una
matriz RACI que describiremos ms adelante.

Roles en el Diseo del Servicio (ITIL:2011)

2. El documento de roles, responsabilidad

y autoridad
Se trata de un documento que define los diferentes
roles involucrados en el Sistema de Gestin.
Podramos distinguir diferentes tipologas de roles y
comits, en funcin del tipo Sistema de Gestin de

que se trate, ya sea aislado o integrado por varias

normas:

Roles y comits de direccin en la organizacin.

Roles y comits responsables del propio sistema

de gestin.

Roles relacionados con la materia objeto del SG

concreto.

Roles transversales (auditora interna, RR.HH.,

Jurdico).

Etc.
Para cada rol o comit, se indicar:

La definicin del rol o comit.

La enumeracin exhaustiva de sus diferentes

funciones.

Las principales relaciones y dependencias con

otros roles y comits.
Una persona puede tener ms de un rol,
especialmente en organizaciones que no dispongan de
suficientes recursos humanos asignados en el alcance
del sistema de gestin.

3. La Matriz RACI
La matriz RACI o de asignacin de responsabilidades
(RACI son las iniciales inglesas de los tipos de
responsabilidad) se utiliza en las descripciones de los
diferentes procesos de un Sistema de Gestin
para relacionar todas las actividades identificadas en
ellos, con roles, comits o reas. De esta manera se

logra asegurar que cada una de las actividades dentro

del alcance est asignada, al menos, a un individuo o
a un equipo.
Rol

Responsi
ble

Accounta
ble

Consulte
d

Informed

Descripcin

Responsa
ble

Este
rol
corresponde
a
quien
efectivamente realiza la tarea o ostenta la
coordinacin para que se lleve a cabo la
actividad.

Rinde
cuentas

Este rol se compromete a que la actividad

se realice y es quien debe rendir cuentas
sobre su ejecucin. Para una misma
actividad, solo puede existir una nica
persona que rinda cuentas (A) de que la
tarea sea ejecutada por su responsable o
su equipo (R).

Consulta
do

Este rol o rea dispone de alguna

informacin o capacidad necesaria para
realizar una tarea o llevar adelante la
actividad. Normalmente se le informa de la
actividad sobre la que se le consulta, por
lo que la comunicacin es bidireccional.

Informad
o

Este rol o rea debe ser informado sobre el

avance y los resultados de la ejecucin de
la tarea. A diferencia del consultado (C), la
comunicacin es unidireccional.

Como ejemplo ilustrativo, en un sistema integrado de

gestin, basado en las normas ISO 20000-1 de gestin
de servicios e ISO 27001 de gestin de seguridad de
la informacin, el proceso documentado de gestin

de incidencias y peticiones de servicio podra tener la

siguiente matriz RACI:

4. Anlisis de la matriz RACI

4.1. Introduccin
He comentado que la matriz RACI relaciona las
diferentes actividades identificadas en los procesos
del sistema de gestin con roles, comits o reas.
Para componerla colocaremos:

En el eje vertical las diferentes actividades que

constituyen el proceso.

En el eje horizontal los diferentes roles, comits o

reas identificados como relacionados con el proceso.

Una vez compuesta la matriz, para cada fila, que se

corresponde con una actividad del proceso, se asignan
los cdigos RACI con que interviene cada rol, comit o
rea.
Obviamente, el consultor deber comunicar la matriz
RACI a las partes interesadas involucradas en el
proceso, para que revisen su columna de implicacin
valorada con (R, A, C, I o nada) en cada una de las
diferentes actividades del proceso.
4.2. Reglas de composicin de la matriz RACI
Existen diferentes reglas que buscan la eficacia y la
eficiencia del proceso del cual estamos representando
la matriz RACI:

Cada actividad debe tener un nico rol que tenga

la autoridad para rendir cuentas (A Accountable). A
no ser que el proceso sea transversal a ms de un
rea de la organizacin, habitualmente todas las (A)
estarn en la misma columna.

Los roles o comits con algn cdigo RACI tipo (A)

en su columna, deben tener delegada por la Alta
direccin, o los rganos de gobierno corporativo, la
autoridad suficiente para desempear sus funciones.

Los roles con alguna (R) deben referirse a

actividades que tengan sus tareas claramente
definidas.

El flujo de la actividad, y por extensin del

proceso, que dispone de roles asignados en la matriz
RACI tipo (C), debe detenerse hasta disponer de la
informacin necesaria que deba ser consultada a ese

rol. La marcha del proceso depende de las (C), en

cambio no se detiene por las (I) ya que nicamente
requieren un envo de informacin.

Los cdigos RACI (I) y (C) deben ser tenidos en

cuenta en todas las situaciones, incluyendo los
correos electrnicos. Un ejemplo sera que, en
ausencia de (I Informado) ese rol no debe aparecer
en la lista de distribucin de informacin de
determinada actividad del proceso, ni aparecer en el
apartado de con copia a del correo electrnico
dirigido a las partes interesadas de esa actividad.
4.3. Anlisis por filas de la matriz RACI
El anlisis por filas, u horizontal, se refiere a analizar,
una a una, las diferentes actividades del proceso
dentro de la matriz RACI. De l se puede deducir:

Ausencia de (A) significa que nadie garantiza que

la actividad se lleve a cabo (falta de autoridad),
mientras que dos o ms (A) representa un conflicto de
autoridad. Es imprescindible que haya un nico rol
para rendir cuentas (A) por actividad.

Dos o ms responsables (R) de ejecutar una tarea

significa que posiblemente hubiera sido mejor dividir
la actividad en tantas otras como (R) haya. La
ausencia de (R) podra indicar que no se ha
representado en el eje horizontal de la matriz un rol
necesario o, lo que es peor, que no lo tengamos
definido
en
el
documento
de
roles,
responsabilidades y autoridad.

Demasiadas (C) en una misma actividad puede

denotar un exceso de especializacin que puede llegar

a ralentizarla, o excesivas comprobaciones o controles

por exceso de celo o por inseguridad en las
competencias de los roles. Posiblemente debern
cruzarse los requerimientos de los diferentes puestos
de trabajo con las competencias reales de los
empleados y, en base a ello, podra llegar a
modificarse el programa anual de formacin
establecido en 7.2 Competencia dentro del
sistema de gestin.

Demasiadas (I) puede denotar un bombardeo de

informacin irrelevante a las diferentes partes
interesadas.

Carencia de (C) o (I) puede denotar falta de

comunicacin, por lo que deberemos revisar el
proceso establecido en 7.4 Comunicacin dentro
del sistema de gestin.
4.4. Anlisis por columnas de la matriz RACI
El anlisis por columnas, o vertical, se refiere a
analizar las diferentes partes interesadas con un rol
asignado en el proceso, dentro de la matriz RACI. De
l se puede deducir:

Demasiadas (A) para un mismo rol, suele indicar

que se trata de un proceso vertical asignado a una
nica rea de la organizacin y el responsable de esa
rea asume el rol, o bien que se ha designado a un
nico propietario del proceso y coincide con l.

Demasiadas (R) para un mismo rol, dentro del

proceso, podra evidenciar una sobrecarga de trabajo
para ese rol que llegara a ralentizar el proceso en su
conjunto por problemas de agenda motivados por un
desequilibrio en la asignacin de funciones.

Ausencia de (A) o (R) significa que no es un rol

operativo. Si nicamente se le asigna (C) es consultivo
y si solo dispone asignada una (I) es de control. Si no
dispone de asignaciones, podemos prescindir de l en
este proceso.

Demasiadas (C) significa que ese rol debe ser

consultado y es imprescindible para muchas
actividades del proceso. Podra denotar un cuello de
botella en ese rol.

Demasiadas (I) podra representar un exceso de

burocracia. Inundar de informacin sin ser necesaria
es contraproducente al ocultar la informacin
realmente til. Podra pensarse en una actividad
adicional del proceso que fuera la obtencin y
distribucin de un informe ejecutivo resumen.
4.5. Anlisis
Compliance

desde

el

punto

de

vista

del

Excesivas (A), podra significar una falta de delegacin

de autoridad, siempre que se d en varios procesos de
la organizacin. nicamente en uno, como he indicado
antes, puede representar que se acte como
propietario de un proceso.

Confluencia de (A) y (R) en un mismo rol dentro

de una actividad puede denotar una falta de
segregacin entre la funcin de ejecucin y la de
supervisin y rendicin de cuentas que, si se repite
varias veces en el proceso, puede provocar un entorno
propicio a la falta de cumplimiento que debe seguirse
con atencin, especialmente si la actividad carece de
(I) que acten como control y no se audite
regularmente ese proceso.

Concentracin de (R) para un mismo rol en

actividades que deben ser independientes entre s,
puede denotar falta de segregacin de funciones que
ocasione un conflicto de intereses.

5. Bibliografa consultada

- [1] Jos Luis Colom. Integrar diferentes normas

ISO gracias al Anexo SL (antes ISO Guide 83). Blog
Aspectos profesionales. Junio de 2013.
Integrar diferentes normas
- [2] ISO.ORG. International
Standard
ISO
19600:2014. Compliance management systems
Guidelines. First edition 2014-12-15.

- [3] Jos Luis Colom. Responsabilidad por deber

de garante: Aplicacin al CCO y al DPO. Captulo 5.
El deber de garante del CCO en la PJ. Blog Aspectos
profesionales. Mayo de 2015.
Responsabilidad por deber de garante
- [4] Information
Technology
Infrastructure
Library. ITIL:2011 Service Design. Best Management
Practice. 3.7.4.1. Designing roles the RACI model.
Page 64 to 68.

6. Derechos de autor

Imgenes bajo licencia 123RF internacional.

La presente obra y su ttulo estn protegidos por el

derecho de autor. Las denominadas obras derivadas,
es decir, aquellas que son el resultado de la
transformacin de sta para generar otras basadas en
ella, tambin se ven afectadas por dicho derecho.
Sobre el autor:

Jos Luis Colom Planas Posee un doble perfil, jurdico y

tcnico, que le facilita el desempeo profesional en el mbito
de los diferentes marcos normativos, especialmente del
Derecho de las nuevas tecnologas y las normas ISO de
adscripcin voluntaria.
A nivel de especializacin jurdica, ha realizado el
postgrado de Especialista Universitario en Proteccin de
Datos y Privacidad en la Facultad de Derecho de la
Universidad de Murcia, disponiendo de la certificacin CDPP
(Certified Data Privacy Professional) del ISMS Frum Spain.
Tambin ha cursado el programa superior de Compliance
Officer (Controller jurdico) en la Escuela Legal WKE y se ha
especializado respecto a los delitos de blanqueo de capitales
en la UOC, en colaboracin con el Ilustre Colegio de
Abogados de Barcelona (ICAB). Es experto externo en
prevencin de blanqueo de capitales, certificado por INBLAC.
A nivel de especializacin tcnica, ha cursado Ingeniera
tcnica de Telecomunicaciones en la Salle BCN estando
adscrito a la AEGITT (Asociacin Espaola de Graduados e
Ingenieros Tcnicos de Telecomunicacin). Es Auditor e
Implantador de SGSI (Gestin de la Seguridad de la
Informacin) por AENOR (Asociacin Espaola de
Certificacin y Normalizacin). Leader Auditor & Implanter
ISO 27001 e ISO 22301 by BSI (British Standards
Institution). Auditor del esquema de certificacin STAR para

prestadores de servicios de Cloud Computing (BSI + Cloud

Security Alliance). Ha obtenido la certificacin internacional
CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone
de las certificaciones ISO 20000 PMI (Process Management
Improvement) e ITIL Service Management by EXIN
(Examination Institute for Information Science).
Desempea su labor profesional en GOVERTIS Advisory
Services cmoCompliance,
Management
&
IT
Advisor, incidiendo
en
Compliance
Penal,
PBCyFT,
asesoramiento
respecto
a
cumplimiento
normativo,
privacidad y gestin de la seguridad de la informacin. Ha
participado
como lead
implementer y lead
auditor de
diferentes sistemas de gestin basados en Normas ISO,
individuales o integrados, y en la optimizacin de sus
procesos. Ha realizado diferentes niveles de auditoras de
cumplimiento legal ya sea para organizaciones sujetas a
Derecho pblico o privado.
Tambin colabora con BSI como auditor jefe de certificacin e
impartiendo formacin para la obtencin de la certificacin de
lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temtico Aspectos
Profesionales.
Convencido del valor que aportan las organizaciones
profesionales, es asociado snior de la APEP (Asociacin
Profesional
Espaola
de
Privacidad),
miembro
de ISACA (Information
Systems
Audit
and
Control
Association), miembro de ISMS Forum Spain (Asociacin
Espaola para el Fomento de la Seguridad de la Informacin),
miembro
de itSMF (IT
Service
Management
Forum), ATI (Asociacin
de
Tcnicos
de

Informtica), ENATIC (Asociacin de expertos nacionales de

la abogaca TIC), CUMPLEN (Asociacin de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de
expertos
en
prevencin
del
Blanqueo
de
Capitales), habiendo sido ponente o colaborado en casi
todas las referidas organizaciones. Tambin lo es de la
iniciativa del Observatorio Iberoamericano de Proteccin de
Datos (OIPRODAT) habiendo obtenido, junto a algunos
colaboradores del mismo, un premio compartido otorgado por
la AEPD.