¿GRC (Gobierno, Riesgo y Cumplimiento) para todos en la

organización?

¡Sí se puede!Presentado por:

LCP Gabriela Reynaga

CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F

23 de abril 2015

CONTENIDO

• GRC Introducción

• Cómo crea valor GRC

• Principled Performance

• Modelo de capacidad de GRC

• Implementación de GRC en la organización

• Proceso de implementación

• Beneficios

• Retos

• Contacto

GRC

Gobierno Riesgo Cumplimiento

Capacidad que habilita una organización para el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.

© OCEG. All rights reserved.

MODELO DE NEGOCIOEstrategia, personas, procesos, tecnología e

infraestructura disponible para el logro de los objetivos.

OBJETIVOSEstratégico,

operacionales, de

clientes, de procesos

y de cumplimiento.

INCERTIDUMBRE

¿CÓMO CREA VALOR GRC?

© OCEG. All rights reserved.

MODELO DE NEGOCIOEstrategia, personas, procesos,

tecnología e infraestructura disponible

para el logro de los objetivos.

OBJETIVOSEstratégico,

operacionales, de

clientes, de procesos

y de cumplimiento.

OPORTUNIDADES

OPORTUNIDADES

OPORTUNIDADES

OB

STA

CU

LOS

© OCEG. All rights reserved.

¿CÓMO CREA VALOR GRC?

MODELO DE NEGOCIOEstrategia, personas, procesos,

tecnología e infraestructura disponible

para el logro de los objetivos.

OBJETIVOSEstratégico,

operacionales, de

clientes, de

procesos y de

cumplimiento.

OPORTUNIDADES

OPORTUNIDADES

OPORTUNIDADES

OB

STA

CU

LOS

© OCEG. All rights reserved.

¿CÓMO CREA VALOR GRC?

MODELO DE NEGOCIOEstrategia, personas, procesos,

tecnología e infraestructura disponible

para el logro de los objetivos.

LIMITE OBLIGATORIOLímite establecido por las fuerzas

externas incluyendo las leyes,

regulaciones gubernamentales y otras

normas.

OBJETIVOSEstratégico,

operacionales, de

clientes, de procesos

y de cumplimiento.

OPORTUNIDADES

OPORTUNIDADES

OPORTUNIDADES

LÍMITE VOLUNTARIOLimite definido por la Administración,

incluido los valores organizacionales, las

obligaciones contractuales, las políticas

voluntarias y otras reglas.

© OCEG. All rights reserved.

¿CÓMO CREA VALOR GRC?

© OCEG. All rights reserved.

Principled Performance

Gestión de

Gobierno

Gestión del Desempeño

Gestión

Control Interno

Gestión de la Cultura &

Etica

Gestión del Cumplimiento

Gestión del Riesgo

NACD, OECD, King 3Domain-Specific Governance (COBIT 5, etc.)

COBIT 5Balanced ScorecardStrategic PlanningBusiness IntelligenceDecision ScienceQuality Management

COSOCoCoTurnbullCOBIT 5

US FSGAS 3806

Quality ManagementDomain-Specific

COSO ERMISO 31000 / BSI 31100

UK Orange BookIRM / ALARM

Domain-Specific (BASEL)

Social PsychologyBehavioral Economics

Learning Theory

PRINCIPLED PERFORMANCE

MODELO DE CAPACIDAD DE GRC

COMPONENTES INTEGRADOS

© OCEG. All rights reserved.

INTERACTUAR

DETECTAR

ORGANIZAR

EVALUARMEDIR

PRO-ACTUARRESPONDER

CONTEXTO

© OCEG. All rights reserved.

Mejorar la cultura organizacional

Aumentar la confianza de partes interesadas

Preparar y Proteger la Organización

Prevenir, Detectar y Reducir la adversidad

Motivar e Inspirar las conductasdeseadasMejorar la capacidad de respuesta y eficiencia

Optimizar el valor económico y social

Lograr los objetivos del negocio

INTERACTUAR

DETECTAR

ORGANIZAR

EVALUARMEDIR

PRO-ACTUARRESPONDER

CONTEXTO

MODELO DE CAPACIDAD DE GRC

RESULTADOS UNIVERSALES

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

Modelo de capacidad de GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

Modelo de capacidad de GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

Modelo de capacidad de GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

MODELO DE CAPACIDAD DE GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

MODELO DE CAPACIDAD DE GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

MODELO DE CAPACIDAD DE GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

MODELO DE CAPACIDAD DE GRC: ELEMENTOS

© OCEG. All rights reserved.

I

D

O

EM

PR

ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad

INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología

EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación

PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos

DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación

RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución

MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento

CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos

MODELO DE CAPACIDAD DE GRC: ELEMENTOS

SITUACIÓN ACTUAL

(ORGANIZACIONES SIN GRC)

• Gestionada en SILOS

• Reactiva

• Métodos por programas o proyectos.

• Separado de los procesos del core y de la toma de decisiones.

• Mal necesario

• Uso fragmentado de la Tecnología

SITUACIÓN DESEADA (ORGANIZACIONES CON GRC)

• Enfoque de la Empresa

• Proactivo

• Método Sistémico

• Incorporado dentro de los proceso del core y la toma de decisiones.

• Valor Agregado

• Soluciones con arquitectura empresarial.

INFORMACIÓN DE CALIDAD INTEGRADA

ESTADODESEADO

SUPERVISIÓN EFECTIVA

INTEGRIDADETICA REPORTES Y ANALISIS INTEGRADOS

ESTRATEGIA DE GRC INTEGRADA

ACTIVIDADES INTEGRADAS DE RIESGO Y CONTROL

LEGAL, RH, TI, OTROS

CUMPLIMIENTO

RIESGOS

AUDITORIA

FINANZAS

OPERACIONES

INFORMACIÓN DE CALIDAD INTEGRADA

NACD, OECD, King 3Domain-Specific Governance (COBIT 5, etc.)

INTEGRACIÓN Y ORQUESTACIÓN DE LAS ÁREAS

Finanzas Finanzas

ComitésConsejoDirectivo

Principled Performance

Gobierno

Gestión del Desempeño

Gestión del Control & Auditoría

Gestión de la Ëtica y Cultura

Gestión del Cumplimient

o

Gestión del Riesgo

RecursosHumanos

OperacionesLegal

Tesorería

CumplimientoNormas

Estrategia

ReportesFinancieros

Operaciones

Contractos

Calidad

Todos

IMPLEMENTACIÓN DE GRC

• ¿Por dónde empezar?

• ¿Está preparada la organización para llevar a cabo una implementación de la

estrategia de GRC?

• Requerimientos mínimos

PROCESO DE IMPLEMENTACIÓN DE LA ESTRATEGIA DE GRC

Sensibilización

Planeación

Diseño de soluciónImplementación

Mantenimiento y mejora continua

PROCESO DE IMPLEMENTACION DE LA ESTRATEGIA DE GRC

Plan estratégico de GRC• Misión / Visión

• Resultados e hitos de madurez (con una correlación con los objetivos de negocio) de casos de negocios

• Estrategia de medición (métricas, indicadores, métodos de cálculo, frecuencia de medición, la naturaleza y la frecuencia de presentación de informes)

• Organigrama

• Capital humano / plan de relaciones con los proveedores (para la implementación y las operaciones en curso)

• Plan financiero (puesta en marcha y operaciones)

• Plan de Tecnología

• Plan de aseguramiento

• Plan de implementación

BENEFICIOS (SÓLO ALGUNOS)

• Mejora de eficiencia operativa de la organización–Alineación estratégica. –Reducción de costos de operación

• Mejora de percepción de la gestión–Confiabilidad –Transparencia.–Disminución de fugas de información

• Blindaje: Reducción de riesgos de gestión–Marco operativo formal–Monitoreo continuo con tableros de control dinámicos

• Sistema de Gestión de Cumplimiento–Aseguramiento–Atención de auditorías

RETOS

• La implementación de GRC no es implementar tecnología solamente.

• Debe existir un deseo auténtico para llevar a cabo un cambio en todos los niveles de la organización.

• Deben estar involucrados todos los niveles desde el inicio de la definición de la estrategia.

• La tecnología apoya la estrategia de GRC siempre y cuando se tenga en mente que es un apoyo y no un todo para la implementación de la estrategia.

Q & A

CONTACTO

LCP GABRIELA REYNAGACRISC, GRCP, CONSEJERA INDEPENDIENTE CERTIFICADA, COBIT 5 F

GLOBAL PRACTICE INTERNACIONAL

greynaga@globalpractice.com.mx

+ 52 1 33 1247 9958