Download - Uniendo Al Gobierno (GRC)

En la misma direccin

Uniendo al Gobierno,

Riesgo y Cumplimiento

(GRC)

Diciembre 2010

Agenda

El debate de hoy se centra en un modelo de Gobierno riesgo y cumplimiento integrado y

automatizado que permita afrontar los desafos y reducir los costos que trae la

implementacin de modelos GRC.

Antecedentes

Qu es GRC?

Componentes de un modelo GRC

Evolucin a un modelo GRC

2 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Riesgos, Control Interno y Gobierno Corporativo a travs del tiempo

COSO

Marco para

el diseo,

evaluacin y

monitoreo

del control

interno

SOX

(S. 404)

Requerimientos

de control

interno

sobre los

procesos con

impacto en la

informacin

financiera

Basilea II

Riesgos Sector

Financiero:

Estndar

internacional

respecto del

capital necesario

frente a los

riesgos de cada

Institucin.

1992 2004

PGC

Principios de

Gobierno

Corporativo de

la Organizacin

para la

Cooperacin y

Desarrollo

Econmico

(OCDE)

1988

Basilea I

Riesgos

Sector

Financiero:

Capital mnimo

de una

institucin

financiera en

funcin a sus

riesgos.

1999

COSO

ERM

Marco para la

administracin

integral

de riesgos y

oportunidades

2002

Soluciones adoptadas de manera aislada = SILOS

entre

otras

COBIT

Marco de

Control

Interno para

Procesos y

aplicaciones

de

tecnologa

de informacin

1996

CMPC

Cdigo de

Mejores

Prcticas

Corporativas

(CCE) ?

2010

Antecedentes (1)


Antecedentes (2)

Las regulaciones globales y locales estn creciendo en volumen y en complejidad. Como

resultado, la demanda de responsabilidad legal a los Consejos de Accionistas as como a

otros rganos de gobierno y, directamente a los ejecutivos se ha intensificado, a la vez que

la administracin de los costos asociados a la gestin de riesgo y cumplimiento contina

siendo un reto.

Requerimientos legales o de industria (ejemplo: PCI -DSS, LFPDP etc.)

Demostrar la adopcin de practicas comunes (ejemplo: COSO, ISO31000, ISO27001, ITIL,

COBIT, ISO20000, etc.)

Prcticas internas (ejemplo: polticas, procedimientos, estndares, etc.)

Interaccin con diferentes funciones y terceros (proveedores de servicio)

Retos de cumplimiento

Incremento del espectro de responsabilidades

Administracin de riesgos Administracin de cumplimiento Seguridad de la informacin Seguridad fsica Continuidad del negocio Recuperacin ante desastres Proteccin de datos

COBIT ISO27001ITIL

PCILFPDPPPSOX


), Anexo 52

Macro proceso

Proceso

Sub - proceso

Actividad

rganos de gobierno

Niveles directivos

Niveles gerenciales

Niveles operativos

Fu

nci

n

Esp

ecia

lida

d

Ge

og

rafa

Giro

Silos horizontales Silos verticales

Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro, geografa,

especialidad o funcin.

Antecedentes (3)

Silos

La adopcin de soluciones de manera aislada deriva en la generacin de silos .


Esfuerzos duplicados debido a la falta de una nica fuente de riesgos y requerimiento de controles de negocio .

Altos costos y esfuerzos extra para cumplimiento cul es el mnimo necesario para cumplir? -

Pensamientos sobre el peor escenario.

Costos elevados

Ineficiencia e inconsistencias

Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente.

Auditora, cumplimiento, seguridad de la informacin, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados.

Reportes inconsistentes de riesgos

Falta de habilidad/herramientas para realizar anlisis de tendencias

Inconsistencia en mtricas y criterios

Falta de indicadores, no existe un anlisis predictivo

Programas en silos

LFPDP SOX

Antecedentes (4)


Antecedentes (5)

En conclusin las empresas suelen enfrentar los siguientes problemas con el enfoque

tradicional, :

Fragmentacin en silos

Adopcin de filosofas o enfoques diferentes y en ocasiones opuestos

Desaprovechamiento de sinergias y/o mejores prcticas internas

Duplicacin de esfuerzos y/o mayor carga para ciertas reas o funciones

Falta de estandarizacin en las operaciones

Ausencia de colaboracin

Visibilidad limitada para la toma de decisiones

Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor agregado

Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro,

geografa, especialidad o funcin.


Qu es GRC?


Qu es GRC?

Marco de referencia

En 2008 el OCEG (Open Compliance and Ethics Group), en el que Deloitte participa

como miembro del Consejo de Liderazgo, emiti un marco de referencia para la

integracin del Gobierno Corporativo, la Administracin de Riesgos y El cumplimiento

regulatorio.

El GRC Capability Model (Red Book), provee un marco conceptual para el desarrollo,

implementacin y seguimiento de un modelo de GRC y su herramienta tecnolgica.

http://www.oceg.org/

OCEG Red book Los 8 componentes de GRC - OCEG


Qu es GRC?

GRC es un modelo de gestin que promueve la unificacin de criterios, la coordinacin de esfuerzos

y colaboracin entre los diferentes involucrados en la direccin de la organizacin; a travs de:

La integracin de los rganos/responsables del gobierno, la administracin y gestin de

riesgos, el control interno y el cumplimiento

La asignacin puntual de roles y responsabilidades del personal clave

La formalizacin de los canales de comunicacin

La aplicacin de un enfoque basado en riesgos

La implementacin de un programa de cumplimientoAdministracin del

desempeo

Administracin

del cumplimientoAdministracin

de riesgos

Toma de

decisiones



Seguridad de la informacin 3

rd Party PCICOSO LFPDP ITIL

Lneas de negocio

Lderes funcionales

Gerentes de cumplimiento

Seguridad de la

informacinLegal Auditoria

Lderes de Ser/Arq.

Gerentes de cumplimiento

Corporativo IT

SOX

Grficamente, los componentes de un modelo de GRC incluyen:


Dashboard (Indicadores) de riesgo y cumplimiento

Autoevaluacin de riesgos y controles

Marco de polticas y control integrado

Marco de reporte y responsabilidad

Proceso comn de administracin de gobierno riesgo y cumplimiento - GRC

Alineacin estratgica

Auto

matizaci

n

El esquema de armonizacin que ofrece GRC

El enfoque actual de cumplimiento crea mltiples programasseparados o desconectados de cumplimiento, los cualestienen que sortear las inconsistencias y la ineficiencia delmanejo de requerimientos de mltiples fuentes.

Requerimientos sobrepuestos Requerimientos Armonizados

La integracin de requerimientos reduce costos, complejidad,inconsistencias y cargas de trabajo requerido para elcumplimiento.

PCI LFPDP

LFPD

PPCISOX

SOX

REQUERIMIENTOS

AISLADOS

REGULACIONES

AISLADOS

ACTIVIDADES Y

CONTROLES

DUPLICADOS

REQUERIMIENTOS

COMUNES

PORTAFOLIO DE

REGULACIONES

ACTIVIDADES Y

CONTROLES

CONSOLIDADOS


Construyendo el Risk Intelligence empresarial

Gobernabilidad del Riesgo

Principio 1: Una definicin comn

de riesgo enfoca a la preservacin

y creacin del valor, es usada

consistentemente a travs de la

organizacin

Principio 2: Un marco comn de

riesgo soportado por estndares

apropiados (ej., COSO ERM, ISO,

etc.) es usado a travs de la

organizacin para gestionar el

riesgo

Principio 3: Roles claves,

responsabilidades y autoridades

relacionadas para gestionar el

riesgo son claramente delimitadas

dentro de la organizacin

Infraestructura y gestin del riesgo

Principio 5: La direccin ejecutiva

tiene la responsabilidad de

disear, implementar y mantener

un programa eficaz de los riesgos

Principio 6: Una infraestructura de

gestin de riesgo comn se utiliza

para apoyar las unidades de

negocio y funciones en el

desempeo de sus

responsabilidades de riesgo

Principio 7: Ciertas funciones (Ej.,

Auditora interna, gestin del

riesgo, conformidad, etc.) ofrecen

garantas objetivas, as como

supervisan e informan sobre la

eficacia del programa de riesgo de

la organizacin

Propiedad del Riesgo

Principio 8: Las unidades de negocio (departamentos,

agencias etc.) son responsables por el desempeo de

sus negocios y la gestin del riesgo de acuerdo al

marco del riesgo establecido por la direccin

ejecutiva.

Principio 9: Ciertas funciones (Ej., finanzas, gestin

del riesgo, TI, conformidad, etc.) tienen un impacto

penetrante sobre el negocio y proveen soporte a las

unidades del negocio de acuerdo al programa de

riesgos de la organizacin.

Principio 4: rganos del gobierno (ej., Consejos de Accionistas , comits de auditora, etc.) tienen apropiada transparencia y

visibilidad en las prcticas de la organizacin en la gestin de riesgos para cumplir con sus responsabilidades



Conocer el estado actual y plantear metas permitirn la evolucin al modelo

2010 Estado Actual 2011 Estado Prximo

Determinar la adecuacin de gestin del riesgo (evaluar riesgo).

Comprender los objetivos estratgicos empresariales.

Comprender los objetivos relevantes del negocio.

Identificar los objetivos internos de TI y establecer el riesgo.

Identificar los eventos relacionados con los objetivos.

Evaluar los riesgos asociados con los acontecimientos.

Evaluar responsabilidades de los riesgos.

Priorizar y planificar las actividades de control.

Aprobar y garantizar el financiamiento de los planes de accin.

Mantener y monitorear el plan de accin en caso de riesgo.

Establecer y ejecutar un proceso para identificar, cuantificar y priorizar los

riesgos de TI (es decir, un proceso de evaluacin de riesgos).

Determinar las directrices y procedimientos para el tratamiento y la

mitigacin de riesgos.

Establecer los criterios de aceptacin de riesgos.

Desarrollar los controles adecuados para reducir y / o transferencia de

riesgos.

Auto -valuacin de riesgos y controlesNon Existente

(0)

Initial/Ad Hoc

(1)

Repeatable

(2)

Defined Process

(3)

Managed

(4)

Optimized

(5)


Solucin GRC automatizada / Plataformas en el mercado

19

http://www.gartner.comhttp://www.forrester.com

Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q3 09