Uniendo Al Gobierno (GRC)

of 17/17
 En la misma dirección Uniendo al Gobierno, Riesgo y Cumplimiento (GRC) Diciembre 2010
  • date post

    07-Oct-2015
  • Category

    Documents

  • view

    12
  • download

    3

Embed Size (px)

description

Cobit GRC

Transcript of Uniendo Al Gobierno (GRC)

  • En la misma direccin

    Uniendo al Gobierno,

    Riesgo y Cumplimiento

    (GRC)

    Diciembre 2010

  • Agenda

    El debate de hoy se centra en un modelo de Gobierno riesgo y cumplimiento integrado y

    automatizado que permita afrontar los desafos y reducir los costos que trae la

    implementacin de modelos GRC.

    Antecedentes

    Qu es GRC?

    Componentes de un modelo GRC

    Evolucin a un modelo GRC

    2 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Riesgos, Control Interno y Gobierno Corporativo a travs del tiempo

    COSO

    Marco para

    el diseo,

    evaluacin y

    monitoreo

    del control

    interno

    SOX

    (S. 404)

    Requerimientos

    de control

    interno

    sobre los

    procesos con

    impacto en la

    informacin

    financiera

    Basilea II

    Riesgos Sector

    Financiero:

    Estndar

    internacional

    respecto del

    capital necesario

    frente a los

    riesgos de cada

    Institucin.

    1992 2004

    PGC

    Principios de

    Gobierno

    Corporativo de

    la Organizacin

    para la

    Cooperacin y

    Desarrollo

    Econmico

    (OCDE)

    1988

    Basilea I

    Riesgos

    Sector

    Financiero:

    Capital mnimo

    de una

    institucin

    financiera en

    funcin a sus

    riesgos.

    1999

    COSO

    ERM

    Marco para la

    administracin

    integral

    de riesgos y

    oportunidades

    2002

    Soluciones adoptadas de manera aislada = SILOS

    entre

    otras

    COBIT

    Marco de

    Control

    Interno para

    Procesos y

    aplicaciones

    de

    tecnologa

    de informacin

    1996

    CMPC

    Cdigo de

    Mejores

    Prcticas

    Corporativas

    (CCE) ?

    2010

    Antecedentes (1)

    3 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Antecedentes (2)

    Las regulaciones globales y locales estn creciendo en volumen y en complejidad. Como

    resultado, la demanda de responsabilidad legal a los Consejos de Accionistas as como a

    otros rganos de gobierno y, directamente a los ejecutivos se ha intensificado, a la vez que

    la administracin de los costos asociados a la gestin de riesgo y cumplimiento contina

    siendo un reto.

    Requerimientos legales o de industria (ejemplo: PCI -DSS, LFPDP etc.)

    Demostrar la adopcin de practicas comunes (ejemplo: COSO, ISO31000, ISO27001, ITIL,

    COBIT, ISO20000, etc.)

    Prcticas internas (ejemplo: polticas, procedimientos, estndares, etc.)

    Interaccin con diferentes funciones y terceros (proveedores de servicio)

    Retos de cumplimiento

    Incremento del espectro de responsabilidades

    Administracin de riesgos Administracin de cumplimiento Seguridad de la informacin Seguridad fsica Continuidad del negocio Recuperacin ante desastres Proteccin de datos

    COBIT ISO27001ITIL

    PCILFPDPPPSOX

    4 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

    ), Anexo 52

  • Macro proceso

    Proceso

    Sub - proceso

    Actividad

    rganos de gobierno

    Niveles directivos

    Niveles gerenciales

    Niveles operativos

    Fu

    nci

    n

    Esp

    ecia

    lida

    d

    Ge

    og

    rafa

    Giro

    Silos horizontales Silos verticales

    Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro, geografa,

    especialidad o funcin.

    Antecedentes (3)

    Silos

    La adopcin de soluciones de manera aislada deriva en la generacin de silos .

    5 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Esfuerzos duplicados debido a la falta de una nica fuente de riesgos y requerimiento de controles de negocio .

    Altos costos y esfuerzos extra para cumplimiento cul es el mnimo necesario para cumplir? -

    Pensamientos sobre el peor escenario.

    Costos elevados

    Ineficiencia e inconsistencias

    Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente.

    Auditora, cumplimiento, seguridad de la informacin, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados.

    Reportes inconsistentes de riesgos

    Falta de habilidad/herramientas para realizar anlisis de tendencias

    Inconsistencia en mtricas y criterios

    Falta de indicadores, no existe un anlisis predictivo

    Programas en silos

    LFPDP SOX

    Antecedentes (4)

    6 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Antecedentes (5)

    En conclusin las empresas suelen enfrentar los siguientes problemas con el enfoque

    tradicional, :

    Fragmentacin en silos

    Adopcin de filosofas o enfoques diferentes y en ocasiones opuestos

    Desaprovechamiento de sinergias y/o mejores prcticas internas

    Duplicacin de esfuerzos y/o mayor carga para ciertas reas o funciones

    Falta de estandarizacin en las operaciones

    Ausencia de colaboracin

    Visibilidad limitada para la toma de decisiones

    Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor agregado

    Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro,

    geografa, especialidad o funcin.

    7 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Qu es GRC?

    8 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Qu es GRC?

    Marco de referencia

    En 2008 el OCEG (Open Compliance and Ethics Group), en el que Deloitte participa

    como miembro del Consejo de Liderazgo, emiti un marco de referencia para la

    integracin del Gobierno Corporativo, la Administracin de Riesgos y El cumplimiento

    regulatorio.

    El GRC Capability Model (Red Book), provee un marco conceptual para el desarrollo,

    implementacin y seguimiento de un modelo de GRC y su herramienta tecnolgica.

    http://www.oceg.org/

    OCEG Red book Los 8 componentes de GRC - OCEG

    9 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Qu es GRC?

    GRC es un modelo de gestin que promueve la unificacin de criterios, la coordinacin de esfuerzos

    y colaboracin entre los diferentes involucrados en la direccin de la organizacin; a travs de:

    La integracin de los rganos/responsables del gobierno, la administracin y gestin de

    riesgos, el control interno y el cumplimiento

    La asignacin puntual de roles y responsabilidades del personal clave

    La formalizacin de los canales de comunicacin

    La aplicacin de un enfoque basado en riesgos

    La implementacin de un programa de cumplimientoAdministracin del

    desempeo

    Administracin

    del cumplimientoAdministracin

    de riesgos

    Toma de

    decisiones

    10 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Componentes de un modelo GRC

    11 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Componentes de un modelo GRC

    Seguridad de la informacin 3

    rd Party PCICOSO LFPDP ITIL

    Lneas de negocio

    Lderes funcionales

    Gerentes de cumplimiento

    Seguridad de la

    informacinLegal Auditoria

    Lderes de Ser/Arq.

    Gerentes de cumplimiento

    Corporativo IT

    SOX

    Grficamente, los componentes de un modelo de GRC incluyen:

    13 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

    Dashboard (Indicadores) de riesgo y cumplimiento

    Autoevaluacin de riesgos y controles

    Marco de polticas y control integrado

    Marco de reporte y responsabilidad

    Proceso comn de administracin de gobierno riesgo y cumplimiento - GRC

    Alineacin estratgica

    Auto

    matizaci

    n

  • El esquema de armonizacin que ofrece GRC

    El enfoque actual de cumplimiento crea mltiples programasseparados o desconectados de cumplimiento, los cualestienen que sortear las inconsistencias y la ineficiencia delmanejo de requerimientos de mltiples fuentes.

    Requerimientos sobrepuestos Requerimientos Armonizados

    La integracin de requerimientos reduce costos, complejidad,inconsistencias y cargas de trabajo requerido para elcumplimiento.

    PCI LFPDP

    LFPD

    PPCISOX

    SOX

    REQUERIMIENTOS

    AISLADOS

    REGULACIONES

    AISLADOS

    ACTIVIDADES Y

    CONTROLES

    DUPLICADOS

    REQUERIMIENTOS

    COMUNES

    PORTAFOLIO DE

    REGULACIONES

    ACTIVIDADES Y

    CONTROLES

    CONSOLIDADOS

    14 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Construyendo el Risk Intelligence empresarial

    Gobernabilidad del Riesgo

    Principio 1: Una definicin comn

    de riesgo enfoca a la preservacin

    y creacin del valor, es usada

    consistentemente a travs de la

    organizacin

    Principio 2: Un marco comn de

    riesgo soportado por estndares

    apropiados (ej., COSO ERM, ISO,

    etc.) es usado a travs de la

    organizacin para gestionar el

    riesgo

    Principio 3: Roles claves,

    responsabilidades y autoridades

    relacionadas para gestionar el

    riesgo son claramente delimitadas

    dentro de la organizacin

    Infraestructura y gestin del riesgo

    Principio 5: La direccin ejecutiva

    tiene la responsabilidad de

    disear, implementar y mantener

    un programa eficaz de los riesgos

    Principio 6: Una infraestructura de

    gestin de riesgo comn se utiliza

    para apoyar las unidades de

    negocio y funciones en el

    desempeo de sus

    responsabilidades de riesgo

    Principio 7: Ciertas funciones (Ej.,

    Auditora interna, gestin del

    riesgo, conformidad, etc.) ofrecen

    garantas objetivas, as como

    supervisan e informan sobre la

    eficacia del programa de riesgo de

    la organizacin

    Propiedad del Riesgo

    Principio 8: Las unidades de negocio (departamentos,

    agencias etc.) son responsables por el desempeo de

    sus negocios y la gestin del riesgo de acuerdo al

    marco del riesgo establecido por la direccin

    ejecutiva.

    Principio 9: Ciertas funciones (Ej., finanzas, gestin

    del riesgo, TI, conformidad, etc.) tienen un impacto

    penetrante sobre el negocio y proveen soporte a las

    unidades del negocio de acuerdo al programa de

    riesgos de la organizacin.

    Principio 4: rganos del gobierno (ej., Consejos de Accionistas , comits de auditora, etc.) tienen apropiada transparencia y

    visibilidad en las prcticas de la organizacin en la gestin de riesgos para cumplir con sus responsabilidades

    16 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Evolucin a un modelo GRC

    17 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Evolucin a un modelo GRC

    Conocer el estado actual y plantear metas permitirn la evolucin al modelo

    2010 Estado Actual 2011 Estado Prximo

    Determinar la adecuacin de gestin del riesgo (evaluar riesgo).

    Comprender los objetivos estratgicos empresariales.

    Comprender los objetivos relevantes del negocio.

    Identificar los objetivos internos de TI y establecer el riesgo.

    Identificar los eventos relacionados con los objetivos.

    Evaluar los riesgos asociados con los acontecimientos.

    Evaluar responsabilidades de los riesgos.

    Priorizar y planificar las actividades de control.

    Aprobar y garantizar el financiamiento de los planes de accin.

    Mantener y monitorear el plan de accin en caso de riesgo.

    Establecer y ejecutar un proceso para identificar, cuantificar y priorizar los

    riesgos de TI (es decir, un proceso de evaluacin de riesgos).

    Determinar las directrices y procedimientos para el tratamiento y la

    mitigacin de riesgos.

    Establecer los criterios de aceptacin de riesgos.

    Desarrollar los controles adecuados para reducir y / o transferencia de

    riesgos.

    Auto -valuacin de riesgos y controlesNon Existente

    (0)

    Initial/Ad Hoc

    (1)

    Repeatable

    (2)

    Defined Process

    (3)

    Managed

    (4)

    Optimized

    (5)

    18 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

  • Solucin GRC automatizada / Plataformas en el mercado

    19

    http://www.gartner.comhttp://www.forrester.com

    Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q3 09