20152304 GRC Para todos en la organización

¿GRC (Gobierno, Riesgo y
Cumplimiento) para todos en la
organización?
¡Sí se puede!
Presentado por:
LCP Gabriela Reynaga
CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F
23 de abril 2015
CONTENIDO
•
•
GRC Introducción
•
Cómo crea valor GRC
•
Principled Performance
•
Modelo de capacidad de GRC
Implementación de GRC en la organización
•
Proceso de implementación
•
Beneficios
•
Retos
•
Contacto
GRC
Gobierno Riesgo Cumplimiento
Capacidad que habilita una organización para el logro confiable de objetivos,
abordando la incertidumbre y actuando con integridad.
© OCEG. All rights reserved.
¿CÓMO CREA VALOR GRC?
INCERTIDUMBRE
MODELO DE NEGOCIO
Estrategia, personas, procesos, tecnología e
infraestructura disponible para el logro de los objetivos.
OBJETIVOS
Estratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
© OCEG. All rights reserved.
OPORTUNIDADES
MODELO DE NEGOCIO
Estrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
OPORTUNIDADES
OPORTUNIDADES
OBSTACULOS
¿CÓMO CREA VALOR GRC?
OBJETIVOS
Estratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
© OCEG. All rights reserved.
OPORTUNIDADES
MODELO DE NEGOCIO
Estrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
OPORTUNIDADES
OPORTUNIDADES
OBSTACULOS
¿CÓMO CREA VALOR GRC?
OBJETIVOS
Estratégico,
operacionales, de
clientes, de
procesos y de
cumplimiento.
© OCEG. All rights reserved.
¿CÓMO CREA VALOR GRC?
LIMITE OBLIGATORIO
Límite establecido por las fuerzas
externas incluyendo las leyes,
regulaciones gubernamentales y otras
normas.
OPORTUNIDADES
MODELO DE NEGOCIO
Estrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
OBJETIVOS
OPORTUNIDADES
OPORTUNIDADES
Estratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
LÍMITE VOLUNTARIO
Limite definido por la Administración,
incluido los valores organizacionales, las
obligaciones contractuales, las políticas
voluntarias y otras reglas.
© OCEG. All rights reserved.
PRINCIPLED PERFORMANCE
NACD, OECD, King 3
Domain-Specific Governance (COBIT 5, etc.)
Gestión de
Gobierno
COSO ERM
ISO 31000 / BSI 31100
UK Orange Book
IRM / ALARM
Domain-Specific (BASEL)
Gestión del
Riesgo
Gestión del
Desempeño
COBIT 5
Balanced Scorecard
Strategic Planning
Business Intelligence
Decision Science
Quality Management
Principled
Performance
US FSG
AS 3806
Quality Management
Domain-Specific
Gestión
Control
Interno
Gestión del
Cumplimiento
COSO
CoCo
Turnbull
COBIT 5
Gestión de la
Cultura &
Etica
Social Psychology
Behavioral Economics
Learning Theory
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC
COMPONENTES INTEGRADOS
CONTEXTO
ORGANIZAR
MEDIR
EVALUAR
INTERACTUAR
RESPONDER
PRO-ACTUAR
DETECTAR
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC
RESULTADOS UNIVERSALES
CONTEXTO
Lograr los objetivos del negocio
ORGANIZAR
Mejorar la cultura organizacional
MEDIR
EVALUAR
INTERACTUAR
RESPONDER
PRO-ACTUAR
Aumentar la confianza de partes interesadas
Preparar y Proteger la Organización
Prevenir, Detectar y Reducir la adversidad
DETECTAR
Motivar e Inspirar las conductas
deseadas
Mejorar la capacidad de respuesta y eficiencia
Optimizar el valor económico y social
© OCEG. All rights reserved.
Modelo de capacidad de GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
Modelo de capacidad de GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
Modelo de capacidad de GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
EVALUAR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
A1 – Identificación
A2 – Análisis
A3 – Planeación
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
EVALUAR
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
A1 – Identificación
A2 – Análisis
A3 – Planeación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
INTERACTUAR
CONTEXTO
ORGANIZAR
I1 – Gestión de Información
I2 – Comunicación
I3 – Tecnología
C1 – Contexto Externo
C2 – Contexto Interno
C3 – Cultura
C4 – Objetivos
O1 – Compromisos
O2 – Roles
O3 – Responsabilidad
MEDIR
EVALUAR
M1 – Monitoreo de Contexto
M2 – Monitoreo de Desempeño
M3 – Mejoramiento Sistémico
M4 – Aseguramiento
A1 – Identificación
A2 – Análisis
A3 – Planeación
RESPONDER
R1 –Controles y Acciones de Respuesta
R2 – Investigación Interna
R3 – Investigación de terceros
R4 – Respuesta a las crisis
R5 – Remediación
R6 – Retribución
O
M
R
I
E
P
D
DETECTAR
D1 – Controles y Acciones Detectivos
D2 – Notificación
D3 – Indagación
PROACTUAR
P1 – Controles y Acciones Proactivas
P2 – Códigos de Conducta
P3 – Políticas
P4 – Educación
P5 – Incentivos
P6 – Relaciones con Terceros
P7 – Financiamiento de Riesgos
© OCEG. All rights reserved.
SITUACIÓN ACTUAL
(ORGANIZACIONES SIN GRC)
• Gestionada en SILOS
• Reactiva
• Métodos por programas o proyectos.
• Separado de los procesos del core y
de la toma de decisiones.
• Mal necesario
• Uso fragmentado de la Tecnología
SITUACIÓN DESEADA
(ORGANIZACIONES CON GRC)
SUPERVISIÓN EFECTIVA
ESTADO
DESEADO
ETICA
REPORTES Y ANALISIS
INTEGRADOS
• Enfoque de la Empresa
INTEGRIDAD
• Proactivo
• Método Sistémico
ESTRATEGIA DE GRC
INTEGRADA
OPERACIONES
AUDITORIA
FINANZAS
RIESGOS
LEGAL, RH, TI, OTROS
CUMPLIMIENTO
ACTIVIDADES INTEGRADAS DE RIESGO Y
CONTROL
• Incorporado dentro de los
proceso del core y la toma de
decisiones.
• Valor Agregado
INFORMACIÓN DE CALIDAD INTEGRADA
INFORMACIÓN DE CALIDAD INTEGRADA
• Soluciones con arquitectura
empresarial.
INTEGRACIÓN Y ORQUESTACIÓN DE
LAS ÁREAS
Consejo
NACD,
OECD, King 3
Directivo
Domain-Specific
Governance (COBIT 5, etc.)
Finanzas
Comités
Finanzas
Gobierno
Tesorería
Estrategia
Gestión del
Riesgo
Cumplimiento
Normas
Legal
Gestión del
Desempeño
Recursos
Humanos
Principled
Performance
Gestión del
Cumplimient
o
Operaciones
Gestión del
Control &
Auditoría
Contractos
Gestión de la
Ëtica y
Cultura
Calidad
Operaciones
Todos
Reportes
Financieros
IMPLEMENTACIÓN DE GRC
• ¿Por dónde empezar?
• ¿Está preparada la organización para llevar a cabo una implementación de la
estrategia de GRC?
• Requerimientos mínimos
PROCESO DE IMPLEMENTACIÓN DE LA
ESTRATEGIA DE GRC
Sensibilización
Mantenimiento y
mejora continua
Implementación
Planeación
Diseño de solución
PROCESO DE IMPLEMENTACION DE LA
ESTRATEGIA DE GRC
Plan estratégico de GRC
• Misión / Visión
• Resultados e hitos de madurez (con una correlación con los objetivos de negocio) de casos de negocios
• Estrategia de medición (métricas, indicadores, métodos de cálculo, frecuencia de medición, la naturaleza y la
frecuencia de presentación de informes)
• Organigrama
• Capital humano / plan de relaciones con los proveedores (para la implementación y las operaciones en curso)
• Plan financiero (puesta en marcha y operaciones)
• Plan de Tecnología
• Plan de aseguramiento
• Plan de implementación
BENEFICIOS (SÓLO ALGUNOS)
• Mejora de eficiencia operativa de la organización
–Alineación estratégica.
–Reducción de costos de operación
• Mejora de percepción de la gestión
–Confiabilidad
–Transparencia.
–Disminución de fugas de información
• Blindaje: Reducción de riesgos de gestión
–Marco operativo formal
–Monitoreo continuo con tableros de control dinámicos
• Sistema de Gestión de Cumplimiento
–Aseguramiento
–Atención de auditorías
RETOS
• La implementación de GRC no es implementar tecnología solamente.
• Debe existir un deseo auténtico para llevar a cabo un cambio en todos los
niveles de la organización.
• Deben estar involucrados todos los niveles desde el inicio de la definición
de la estrategia.
• La tecnología apoya la estrategia de GRC siempre y cuando se tenga en
mente que es un apoyo y no un todo para la implementación de la
estrategia.
Q&A
CONTACTO
LCP GABRIELA REYNAGA
CRISC, GRCP, CONSEJERA INDEPENDIENTE CERTIFICADA, COBIT 5 F
GLOBAL PRACTICE INTERNACIONAL
[email protected]
+ 52 1 33 1247 9958