CASO ANONIMIZADO · CPG
Aseguramiento conectado al proceso, validado en operación
Una organización líder de consumo masivo validó Risk & Control Assurance sobre dominios de su función de aseguramiento —riesgos, controles, evidencia, pruebas, hallazgos y planes de acción— conectándolos al proceso operativo y a la evidencia documental oficial, en convivencia con la plataforma GRC corporativa existente, sin reemplazarla.
La validación mostró que el recorrido auditor riesgo → control → prueba → evidencia → hallazgo → plan se recorre como una consulta sobre el grafo, no como un proyecto de reconstrucción por cada auditoría.
El desafío
En una organización de consumo masivo con función de aseguramiento —Riesgos, Control Interno, Compliance, Auditoría— suele existir ya una plataforma GRC corporativa que es fuente oficial y cumple su rol. El problema no es la plataforma: es que sobre ella, dominios concretos quedan limitados, aislados del proceso que los origina.
- El riesgo vive separado del proceso: un riesgo o un control existe en la plataforma GRC, pero no aparece junto al proceso operativo que lo origina ni a la evidencia documental que lo respalda.
- La evidencia vive en repositorios paralelos: procedimientos, políticas, instructivos y registros que sostienen cada control viven en el repositorio documental oficial, sin trazabilidad bidireccional con el control.
- El recorrido auditor se reconstruye proyecto por proyecto: la pista riesgo → control → prueba → evidencia → hallazgo → plan se rearma a mano contra extracciones manuales. Cada auditoría es un proyecto de reconstrucción, no una consulta.
- Reemplazar la plataforma GRC no es viable, pero seguir invirtiendo solo en ella tampoco resuelve el dolor: en dominios concretos, el equipo necesita más contexto operativo, más trazabilidad y evidencia conectada.
El aseguramiento no se sostiene con nodos sueltos en una plataforma. Se sostiene con riesgos, controles y evidencia conectados al proceso, vigentes y trazables.
La solución EAFlow
Risk & Control Assurance es una solución transversal de EAFlow Platform construida sobre la capa común Operational Graph, que opera en el escenario de extensión progresiva por dominios: convive con la plataforma GRC corporativa como fuente oficial y extiende los dominios concretos donde el cliente necesita profundizar, sin reemplazarla ni obligar a una migración completa. La validación cubrió, sobre dominios de la función de aseguramiento del cliente:
- Universo riesgo-control conectado al Operational Graph. Riesgos, controles, dominios, materias y procesos quedan como nodos conectados. El universo deja de ser una planilla y pasa a ser una capa navegable.
- Matriz riesgo-control-proceso visible como consulta del grafo. Cada riesgo conectado al control que lo mitiga y al proceso que lo ejecuta; cobertura, brechas y huérfanos quedan visibles, no como informe ensamblado a mano.
- Evidencia documental vinculada al control y al proceso. Procedimientos, políticas, instructivos y registros publicados se conectan al control y al proceso, versionados y trazables desde la fuente oficial.
- RCSA, autocontroles y pruebas de control sobre el grafo. Cuestionarios respondidos, brechas resaltadas y pruebas (aprobado / fallido / no aplica) con evidencia adjunta, ejecutor y fecha.
- Hallazgos y planes de acción conectados al riesgo, control y proceso, con responsable, fecha de cierre, evidencia y estado de remediación.
- Recorrido auditor sobre el grafo: la pista riesgo → proceso → control → prueba → evidencia → hallazgo → plan se recorre como consulta, no como proyecto de reconstrucción.
- Reportería de aseguramiento conectada: dashboards por materia, dominio, área, responsable, proceso o marco de control, construidos sobre el mismo grafo, sin extracciones manuales.
En esta validación el soporte fue analítico —recorrido sobre el grafo, reportería conectada y consulta sobre el mismo modelo. La conexión a la plataforma GRC y al repositorio documental oficial se establece por madurez y validación técnica, por alcance acordado y por dominio. La solución opera sobre las fuentes oficiales del cliente, sin reemplazarlas ni migrar masivamente sus datos.
Qué se validó
La experiencia se ejecutó sobre contexto operacional de la función de aseguramiento del cliente. El equipo de Riesgos recorrió el ciclo completo: conexión del universo riesgo-control existente, vinculación de evidencia documental, RCSA y autocontroles, pruebas de control con evidencia, hallazgos y planes de acción, recorrido auditor completo sobre el grafo y reportería de aseguramiento —en convivencia con la plataforma GRC corporativa como fuente oficial sobre los dominios fuera de extensión, con roles diferenciados por dominio.
Capacidades demostradas
- Operational Graph como base común de contexto.
- Trazabilidad riesgo ↔ control ↔ proceso ↔ responsable ↔ evidencia ↔ prueba ↔ hallazgo ↔ plan.
- Evidencia documental conectada con trazabilidad bidireccional al control.
- Pruebas y autocontroles con evidencia, ejecutor y fecha.
- Recorrido auditor como consulta navegable sobre el grafo.
- Reportería de aseguramiento por materia, dominio y proceso.
- Convivencia con la plataforma GRC corporativa como fuente oficial.
Resultado observado
La función de aseguramiento pasó de "tener los nodos en la plataforma" a tener riesgos, controles y evidencia conectados al proceso, vigentes y trazables. El recorrido auditor dejó de ser un proyecto de reconstrucción por cada auditoría y pasó a ser una consulta sobre el grafo; la matriz riesgo-control-proceso quedó disponible con cobertura, brechas y huérfanos visibles; y la reportería de aseguramiento se construyó sobre el mismo grafo en lugar de extracciones manuales paralelas.
La validación confirmó que la solución extiende dominios concretos de aseguramiento en convivencia con la plataforma GRC corporativa del cliente, conectándolos al resto de la operación.
Por qué importa para otras organizaciones
El patrón se repite en organizaciones medianas y grandes con función de aseguramiento: la plataforma GRC corporativa existe y cumple su rol regulatorio, pero dominios concretos quedan aislados del proceso. Extenderlos sobre el Operational Graph —sin migrar masivamente ni reemplazar la plataforma oficial— reduce el riesgo de la auditoría y el del día a día, dominio por dominio, según valor incremental observado.
Empezar por un dominio concreto es además una puerta de entrada de bajo riesgo: el mismo Operational Graph que conecta riesgos y controles sostiene después procesos, documentos vivos y operación.
Cómo escala — soluciones relacionadas
El universo riesgo-control conectado se reutiliza sobre el mismo Operational Graph:
- Hacia procesos y arquitectura Modernización de Procesos y Arquitectura / Process Knowledge
Los procesos que sostienen los controles pasan a ser corpus modernizado, profundizando la trazabilidad riesgo-control-proceso.
- Hacia documentos vivos Document Governance & Evidence
La evidencia documental que respalda controles se gobierna con flujo de aprobación, publicación y vigencia, no solo se referencia. En CPG, vía Quality Document Management for CPG.
- Hacia operación de servicios Operational Graph for Service Operations
Los hallazgos operativos detectados en la mesa de servicio se conectan a riesgos y controles cuando aplica.
- Hacia continuidad Continuidad Operativa y Resiliencia
Cuando el dominio extendido es continuidad, la evidencia alimenta el modelo de BIA, RTO/RPO, dependencias críticas y planes BCP/DRP.