20 de Abril, 2016 - protivitimexico.com...• Definición de flujos de trabajo, planes de acción,...

Lecciones aprendidas de implementación GRC 20 de Abril, 2016

2 © 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

Objetivo

2

Compartir con las organizaciones que están en busca de mejorar o implementar su gobierno corporativo, administración de riesgos y la función de auditoría a través del uso de herramientas GRC (Gobierno, Riesgo y Cumplimiento), las lecciones aprendidas que la implementación de estas herramientas dejan en las organizaciones.


Contenido

-  Introducción -  Lección 1: Cultura organizacional -  Lección 2: Necesidades y definiciones del negocio -  Lección 3: Personal clave (roles y responsabilidades) -  Lección 4: Identificación de información básica para nutrir un GRC -  Lección 5: Administración y comunicación de riesgos del proyecto -  Lección 6: Manejo del cambio organizacional -  Lección 7: Sustentabilidad -  Preguntas y respuestas

Introducción


Introducción: ¿Qué es GRC?

•  Gobierno, Administración de Riesgos y Cumplimiento (Governance, Risk Management, and Compliance o "GRC“) refleja una nueva manera de como las Organizaciones pueden adoptar un enfoque integral que relacione estas tres áreas; esta integración incluye muchas actividades dentro de una organización tales como: auditoria interna, programas de cumplimiento como SOX, administración del riesgo, riesgo operativo, administración de incidentes, etc. GRC busca que en una organización actúe de manera ética de acuerdo con sus riesgos, políticas internas y regulaciones externas, a través de la alineación de estrategias, procesos, tecnología y personas mejorando con ello la eficacia y eficiencia de sus operaciones.


Introducción: ¿Qué es un sistema GRC?

•  De manera inicial, el sistema GRC fue impulsado por SOX, pero el concepto y las expectativas de GRC han cambiado y ahora este tipo de sistemas son vistos como el medio para alcanzar una Administración de Riesgos Corporativa. Específicamente esto representa el administrar riesgos como una transacción o una actividad de cumplimiento para agregar valor al negocio, mediante la mejora de la toma de decisiones a nivel de planeación estratégica y de la operación.

•  Las actividades realizadas en el sistema GRC son importantes ya que aumentan el rendimiento de la organización y la protege tanto interna como externamente.

Sin GRC Con GRC


Introducción: ¿Qué es un sistema GRC?

7

Características de un programa integral de GRC

0% 20% 40% 60% 80% 100%

Adoptar un lenguaje común Comunicación entre los

diferentes equipos de trabajo relacionados

Supervisión centralizada de riesgos y cumplimiento Utilización de una sola

plataforma GRC Estandarización y

consolidación de las métricas de riesgos

Barreras para implementar exitósamente GRC

0% 20% 40% 60% 80% 100%

Alto costos y tiempos largos de implementación

Falta de una sola visión y un

lenguaje común de riesgos

Gestión del cambio para apoyar la implementación

Falta de solución tecnológica

Alineado con la estrategia del

negocio

Dominios aislados de GRC

Práctica integrada de

riesgos y cumplimiento

• Alineación estrategias, sistemas de información

• KPI/KRIs • Tableros de control de empresa

• Soporte de múltiples componentes de GRC

• Vista central de Riesgos

• Reporte consolidado

• Puntos de vista centralizados de políticas

• Cumplimiento automatizado

Madurez de la correlación programa de GRC

Requerimientos clave - plataforma de GRC

Investigación de ISACA •  17% + ingreso •  14% + utilidad •  96% - pérdidas

financieras •  50% - gasto en el

programa anual de cumplimiento

Investigación de Aberdeen Group

•  20% + en la habilidad para priorizar inversiones

•  16% + al optimizar procesos actuales

•  Ventaja competitiva •  Resultados optimizados •  Proteger la inversión de

terceros

•  Cumplimiento regulatorio de informes y reportes públicos

•  Ventaja competitiva de gestión del cumplimiento

•  Reducción de pérdidas operativas e incidentes

•  Disminuir el costo total del cumplimiento

Objetivo del programa GRC Valor

Optimización de costos

Cumplimiento demostrable

Asignación efectiva de activos / recursos

¿QUE REQUIERE? ¿CUALES SON SUS BENEFICIOS?


Introducción: Objetivos generales de las herramientas GRC

8

•  Algunos de los objetivos de una plataforma de GRC: –  El negocio (entiéndase los dueños de los procesos) pueda hacerse responsable

de administrar sus riesgos y controles. –  Las áreas normativas y de cumplimiento (AI, Control Interno, Riesgos,

Cumplimiento, etc.), se dediquen a estar cuidando lo que realmente es importante para el negocio.

–  Los procesos de cumplimiento y entrega de información regulatoria se vuelvan más eficientes y efectivos.

–  Las principales áreas usuarias de este tipo de herramientas son: •  Auditoria Interna •  Los diferentes comités de Gobierno Corporativo. •  Riesgo y cumplimiento. •  Control interno. •  Normatividad, Políticas y Procedimientos. •  Usuarios de las áreas de negocio, responsables de la administración de los

riesgos. •  Altos Ejecutivos.


Introducción: Principales funcionalidades

9

•  Las principales funciones que soporta una plataforma GRC son: –  Administración de riesgos:

•  Identificación de riesgos y su calificación, basados en los modelos de riesgos definidos por la organización.

•  Definición de controles y sus pruebas; así como las actividades y planes de trabajo que permitan fortalecer el ambiente de control.

•  Riesgo operativo. Administrar la materialización de los riesgos (pérdidas).

–  Administración del cumplimiento: •  Soportar diferentes marcos regulatorios, normas, leyes, etc.(COSO 2013,

SOX, JSOX, EuroSOX, ISO9000, estándares de industria, regulaciones ambientales, etc.).

•  Documentación, reportes, definición de objetivos de control, y administración de los riesgos y controles asociados.

•  Concientización hacia toda la organización (políticas, código de ética, evaluaciones del conocimiento asociado al cumplimiento, etc.).


Introducción: Principales funcionalidades (cont.)

10

–  Administración de Políticas y Procedimientos: •  Administración documental que permite mantener el ciclo de vida de las

políticas y procedimientos, desde su creación, revisión, cambios, publicación y archivo.

–  Administración de Auditorias: •  Planeación y programación de auditorias y actividades relacionadas. •  Identificación, seguimiento y mitigación de hallazgos. •  Administración y reportes de tiempo de actividades y personal. •  Administración y estandarización de papeles de trabajo.

–  Autoevaluación: •  Capacidad de recolectar información, de manera rápida y oportuna, a

través de toda la organización, de temas como: –  Autoevaluación de riesgos y controles. –  Comunicación y entendimiento de políticas y procedimientos. –  Evaluación de las funciones de: Auditoría Interna, Riesgos,

Cumplimiento, etc.


Introducción: Principales funcionalidades (cont.)

11

–  Seguimiento •  Definición de flujos de trabajo, planes de acción, tareas, con responsables

y fechas compromiso de solución. •  Alertas automatizadas. •  Bitácoras de cambios.

–  Explotación de la información: •  Mapas de calor. •  Tableros de control con indicadores de desempeño:

–  Auditoría –  Cumplimiento –  Riesgos –  Etc.

•  Reportes de cumplimiento. •  Informes de auditoría. •  Etc.

Lecciones aprendidas


Auditoría Interna

Control Interno

Lección 1: Cultura organizacional

q  Indefinición de los objetivos de cada proceso operativo que se ejecuta en la organización

q  Falta de un lenguaje común de riesgos

q  Estrategia desalineada o no comunicada

q  Falta de conocimiento del objetivo del Gobierno Corporativo

q  Inadecuados canales de comunicación entre los diferentes niveles de la organización

q  El cumplimiento y/o la administración de riesgo son responsabilidad de Auditoría Interna o Control Interno

q  Resistencia al cambio


Lección 2: Necesidades y definiciones del negocio

q  El negocio (entiéndase los dueños de los procesos) debe hacerse responsable de administrar sus riesgos y controles

q  Generación de perdidas en el negocio, ¿qué está pasando?

q  Objetivo y Alcance del GRC (Cumplimiento, riesgos y controles, auditoria interna, etc.)

-  Yo, responsable de la operación, ¿para que quiero administrar los riesgos?

-  Vamos a cotizar en bolsa

-  Tenemos un nuevo marco regulatorio que cumplir (interno y externo)

-  Vamos a implementar un sistema de calidad

-  Actualización del actual marco normativo o la implementación de uno nuevo

-  Administración de las políticas y procedimientos


Lección 3: Personal clave (roles y responsabilidades)

q  De acuerdo al alcance del GRC, involucrar a los mejores elementos y con mayor conocimiento de la organización:

–  Responsables de procesos –  Riesgos –  Control Interno –  Auditoría Interna –  Calidad –  Políticas y procedimientos

q  Definir a un líder de proyecto: –  Reconocido dentro de la organización –  Negociador, con capacidad de toma de decisión –  Con conocimiento de Gobierno Corporativo –  Tiempo dedicado al proyecto de implementación

Riesgos AI Calidad Control Normatividad Interno


q  Consultores con experiencia y conocimiento en: –  Gobierno Corporativo –  Marcos de Control (COSO, ISO, COBIT, etc.) –  Ejecución de auditorias –  Identificación de riesgos –  Implementación del sistema

q  Definiciones de Comités responsables del proyecto: –  Comité Ejecutivo –  Comité Operativo

Lección 3: Personal clave (roles y responsabilidades) Cont.


q  Generales: –  Estructura organizacional y de procesos

q  Riesgos: –  Marco de Control (COSO, COBIT) –  Matrices de riesgos y controles –  Evaluaciones –  Información histórica

q  Políticas y procedimientos –  Estructura de documentos basada en los distintos tipos que manejan –  Documentos a ser cargados en la estructura definida –  Flujos de aprobación –  Soporte de evaluación del conocimiento y aceptación de políticas

Lección 4: Identificación de información básica para nutrir un GRC


q  Auditoria Interna –  Metodologías o actividades principales de los tipos de revisiones –  Papeles de trabajo –  Formatos estándar –  Informes

q  Cumplimiento –  Estructura de cumplimiento (listado de entes reguladores, normas, leyes, etc.) –  Documentos a ser cargados en la estructura definida –  Reportes regulatorios –  Cuestionarios de cumplimiento

Lección 4: Identificación de información básica para nutrir un GRC (Cont.)


Lección 5: Administración y comunicación de riesgos del proyecto q  Definición de un esquema de gobierno del proyecto, donde:

–  Exista un administrador del proyecto independiente al cliente y al implementador

–  Se presenten reportes de estatus que considere: •  Avances •  Atrasos •  Identificación de riesgos, definición de medidas mitigatorias y asignación de responsables •  Esquemas de escalamiento de riesgos

–  Comunicación formal y oportuna de situaciones extraordinarias

–  Reglas claras de aprobación a modificaciones al alcance y / o duración del proyecto

–  Entregables claros (acordados desde el inicio del proyecto, revisados y aprobados por los usuarios, etc.)


Lección 6: Manejo del cambio organizacional

q  Definir como parte del proyecto un componente del manejo del cambio, dirigido por externo, con participación de personal interno

q  Al inicio del proyecto, identificar (junto con el líder del proyecto), áreas de alto riesgo:

–  Áreas con mucha carga de trabajo y/o poco personal –  Áreas / personas con resistencia al cambio (experiencia en proyectos

similares o anteriores) –  Proyectos que se estén ejecutando en ese momento

q  Definir planes de comunicación, utilizando los medios ya conocidos dentro de la organización

q  Definir estrategias de comunicación de cambios organizacionales originados por la implementación de la herramienta.

q  Definir estrategias por área / personal relacionadas con la resistencia y/o participación inadecuada en el proyecto


Lección 7: Sustentabilidad

q  Definición de “champions”, responsables del uso de la herramienta en las diferentes áreas

q  Reportes ejecutivos, de los beneficios de prevenir q  Ahorros potenciales en honorarios de auditores externos q  Cumplimientos regulatorios en tiempo y forma q  Esquemas de comunicación de los beneficios de usar la herramienta q  Integrar los beneficios y responsabilidades del GRC y el uso de la herramienta al

programa de capacitación de empleados (alta rotación de personal) q  Esquema de monitoreo sobre el aprovechamiento de la herramienta ligado a

indicadores de desempeño de los empleados q  Aprovechamiento de las herramientas que ofrece el software para efectos de

comunicación, evaluación y seguimiento del uso mismo de la herramienta

Preguntas y respuestas

Gracias por su atención!


Contactos

Roberto Abad Managing Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]

Luis Cabrera Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]

Iván Torres Manager Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]


26

20 de Abril, 2016 - protivitimexico.com...• Definición de flujos de trabajo, planes de acción,...

Documents

Transcript of 20 de Abril, 2016 - protivitimexico.com...• Definición de flujos de trabajo, planes de acción,...