En la misma direccin
Uniendo al Gobierno,
Riesgo y Cumplimiento
(GRC)
Diciembre 2010
Agenda
El debate de hoy se centra en un modelo de Gobierno riesgo y cumplimiento integrado y
automatizado que permita afrontar los desafos y reducir los costos que trae la
implementacin de modelos GRC.
Antecedentes
Qu es GRC?
Componentes de un modelo GRC
Evolucin a un modelo GRC
2 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Riesgos, Control Interno y Gobierno Corporativo a travs del tiempo
COSO
Marco para
el diseo,
evaluacin y
monitoreo
del control
interno
SOX
(S. 404)
Requerimientos
de control
interno
sobre los
procesos con
impacto en la
informacin
financiera
Basilea II
Riesgos Sector
Financiero:
Estndar
internacional
respecto del
capital necesario
frente a los
riesgos de cada
Institucin.
1992 2004
PGC
Principios de
Gobierno
Corporativo de
la Organizacin
para la
Cooperacin y
Desarrollo
Econmico
(OCDE)
1988
Basilea I
Riesgos
Sector
Financiero:
Capital mnimo
de una
institucin
financiera en
funcin a sus
riesgos.
1999
COSO
ERM
Marco para la
administracin
integral
de riesgos y
oportunidades
2002
Soluciones adoptadas de manera aislada = SILOS
entre
otras
COBIT
Marco de
Control
Interno para
Procesos y
aplicaciones
de
tecnologa
de informacin
1996
CMPC
Cdigo de
Mejores
Prcticas
Corporativas
(CCE) ?
2010
Antecedentes (1)
3 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Antecedentes (2)
Las regulaciones globales y locales estn creciendo en volumen y en complejidad. Como
resultado, la demanda de responsabilidad legal a los Consejos de Accionistas as como a
otros rganos de gobierno y, directamente a los ejecutivos se ha intensificado, a la vez que
la administracin de los costos asociados a la gestin de riesgo y cumplimiento contina
siendo un reto.
Requerimientos legales o de industria (ejemplo: PCI -DSS, LFPDP etc.)
Demostrar la adopcin de practicas comunes (ejemplo: COSO, ISO31000, ISO27001, ITIL,
COBIT, ISO20000, etc.)
Prcticas internas (ejemplo: polticas, procedimientos, estndares, etc.)
Interaccin con diferentes funciones y terceros (proveedores de servicio)
Retos de cumplimiento
Incremento del espectro de responsabilidades
Administracin de riesgos Administracin de cumplimiento Seguridad de la informacin Seguridad fsica Continuidad del negocio Recuperacin ante desastres Proteccin de datos
COBIT ISO27001ITIL
PCILFPDPPPSOX
4 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
), Anexo 52
Macro proceso
Proceso
Sub - proceso
Actividad
rganos de gobierno
Niveles directivos
Niveles gerenciales
Niveles operativos
Fu
nci
n
Esp
ecia
lida
d
Ge
og
rafa
Giro
Silos horizontales Silos verticales
Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro, geografa,
especialidad o funcin.
Antecedentes (3)
Silos
La adopcin de soluciones de manera aislada deriva en la generacin de silos .
5 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Esfuerzos duplicados debido a la falta de una nica fuente de riesgos y requerimiento de controles de negocio .
Altos costos y esfuerzos extra para cumplimiento cul es el mnimo necesario para cumplir? -
Pensamientos sobre el peor escenario.
Costos elevados
Ineficiencia e inconsistencias
Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente.
Auditora, cumplimiento, seguridad de la informacin, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados.
Reportes inconsistentes de riesgos
Falta de habilidad/herramientas para realizar anlisis de tendencias
Inconsistencia en mtricas y criterios
Falta de indicadores, no existe un anlisis predictivo
Programas en silos
LFPDP SOX
Antecedentes (4)
6 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Antecedentes (5)
En conclusin las empresas suelen enfrentar los siguientes problemas con el enfoque
tradicional, :
Fragmentacin en silos
Adopcin de filosofas o enfoques diferentes y en ocasiones opuestos
Desaprovechamiento de sinergias y/o mejores prcticas internas
Duplicacin de esfuerzos y/o mayor carga para ciertas reas o funciones
Falta de estandarizacin en las operaciones
Ausencia de colaboracin
Visibilidad limitada para la toma de decisiones
Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor agregado
Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro,
geografa, especialidad o funcin.
7 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Qu es GRC?
8 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Qu es GRC?
Marco de referencia
En 2008 el OCEG (Open Compliance and Ethics Group), en el que Deloitte participa
como miembro del Consejo de Liderazgo, emiti un marco de referencia para la
integracin del Gobierno Corporativo, la Administracin de Riesgos y El cumplimiento
regulatorio.
El GRC Capability Model (Red Book), provee un marco conceptual para el desarrollo,
implementacin y seguimiento de un modelo de GRC y su herramienta tecnolgica.
http://www.oceg.org/
OCEG Red book Los 8 componentes de GRC - OCEG
9 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Qu es GRC?
GRC es un modelo de gestin que promueve la unificacin de criterios, la coordinacin de esfuerzos
y colaboracin entre los diferentes involucrados en la direccin de la organizacin; a travs de:
La integracin de los rganos/responsables del gobierno, la administracin y gestin de
riesgos, el control interno y el cumplimiento
La asignacin puntual de roles y responsabilidades del personal clave
La formalizacin de los canales de comunicacin
La aplicacin de un enfoque basado en riesgos
La implementacin de un programa de cumplimientoAdministracin del
desempeo
Administracin
del cumplimientoAdministracin
de riesgos
Toma de
decisiones
10 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Componentes de un modelo GRC
11 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Componentes de un modelo GRC
Seguridad de la informacin 3
rd Party PCICOSO LFPDP ITIL
Lneas de negocio
Lderes funcionales
Gerentes de cumplimiento
Seguridad de la
informacinLegal Auditoria
Lderes de Ser/Arq.
Gerentes de cumplimiento
Corporativo IT
SOX
Grficamente, los componentes de un modelo de GRC incluyen:
13 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Dashboard (Indicadores) de riesgo y cumplimiento
Autoevaluacin de riesgos y controles
Marco de polticas y control integrado
Marco de reporte y responsabilidad
Proceso comn de administracin de gobierno riesgo y cumplimiento - GRC
Alineacin estratgica
Auto
matizaci
n
El esquema de armonizacin que ofrece GRC
El enfoque actual de cumplimiento crea mltiples programasseparados o desconectados de cumplimiento, los cualestienen que sortear las inconsistencias y la ineficiencia delmanejo de requerimientos de mltiples fuentes.
Requerimientos sobrepuestos Requerimientos Armonizados
La integracin de requerimientos reduce costos, complejidad,inconsistencias y cargas de trabajo requerido para elcumplimiento.
PCI LFPDP
LFPD
PPCISOX
SOX
REQUERIMIENTOS
AISLADOS
REGULACIONES
AISLADOS
ACTIVIDADES Y
CONTROLES
DUPLICADOS
REQUERIMIENTOS
COMUNES
PORTAFOLIO DE
REGULACIONES
ACTIVIDADES Y
CONTROLES
CONSOLIDADOS
14 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Construyendo el Risk Intelligence empresarial
Gobernabilidad del Riesgo
Principio 1: Una definicin comn
de riesgo enfoca a la preservacin
y creacin del valor, es usada
consistentemente a travs de la
organizacin
Principio 2: Un marco comn de
riesgo soportado por estndares
apropiados (ej., COSO ERM, ISO,
etc.) es usado a travs de la
organizacin para gestionar el
riesgo
Principio 3: Roles claves,
responsabilidades y autoridades
relacionadas para gestionar el
riesgo son claramente delimitadas
dentro de la organizacin
Infraestructura y gestin del riesgo
Principio 5: La direccin ejecutiva
tiene la responsabilidad de
disear, implementar y mantener
un programa eficaz de los riesgos
Principio 6: Una infraestructura de
gestin de riesgo comn se utiliza
para apoyar las unidades de
negocio y funciones en el
desempeo de sus
responsabilidades de riesgo
Principio 7: Ciertas funciones (Ej.,
Auditora interna, gestin del
riesgo, conformidad, etc.) ofrecen
garantas objetivas, as como
supervisan e informan sobre la
eficacia del programa de riesgo de
la organizacin
Propiedad del Riesgo
Principio 8: Las unidades de negocio (departamentos,
agencias etc.) son responsables por el desempeo de
sus negocios y la gestin del riesgo de acuerdo al
marco del riesgo establecido por la direccin
ejecutiva.
Principio 9: Ciertas funciones (Ej., finanzas, gestin
del riesgo, TI, conformidad, etc.) tienen un impacto
penetrante sobre el negocio y proveen soporte a las
unidades del negocio de acuerdo al programa de
riesgos de la organizacin.
Principio 4: rganos del gobierno (ej., Consejos de Accionistas , comits de auditora, etc.) tienen apropiada transparencia y
visibilidad en las prcticas de la organizacin en la gestin de riesgos para cumplir con sus responsabilidades
16 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Evolucin a un modelo GRC
17 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Evolucin a un modelo GRC
Conocer el estado actual y plantear metas permitirn la evolucin al modelo
2010 Estado Actual 2011 Estado Prximo
Determinar la adecuacin de gestin del riesgo (evaluar riesgo).
Comprender los objetivos estratgicos empresariales.
Comprender los objetivos relevantes del negocio.
Identificar los objetivos internos de TI y establecer el riesgo.
Identificar los eventos relacionados con los objetivos.
Evaluar los riesgos asociados con los acontecimientos.
Evaluar responsabilidades de los riesgos.
Priorizar y planificar las actividades de control.
Aprobar y garantizar el financiamiento de los planes de accin.
Mantener y monitorear el plan de accin en caso de riesgo.
Establecer y ejecutar un proceso para identificar, cuantificar y priorizar los
riesgos de TI (es decir, un proceso de evaluacin de riesgos).
Determinar las directrices y procedimientos para el tratamiento y la
mitigacin de riesgos.
Establecer los criterios de aceptacin de riesgos.
Desarrollar los controles adecuados para reducir y / o transferencia de
riesgos.
Auto -valuacin de riesgos y controlesNon Existente
(0)
Initial/Ad Hoc
(1)
Repeatable
(2)
Defined Process
(3)
Managed
(4)
Optimized
(5)
18 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Solucin GRC automatizada / Plataformas en el mercado
19
http://www.gartner.comhttp://www.forrester.com
Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q3 09