Gestionando el Riesgo en Contratos y Proyectos

Transcripción

1 Gestionando el Riesgo en Contratos y Proyectos Entendiendo lo que otros hacen en su nombre Gustavo Mejia Gerente de Riesgos Líder CRC

2 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

3 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

4 La Empresa Extendida En el mundo actual de los negocios, la compañías rara vez actúan solas. El crecimiento y el éxito en los negocios están cada vez más soportados por el outsourcing, los proveedores críticos y el licenciamiento; los productos y los servicios son ahora, más que nunca, creados y distribuidos mediante alianzas estratégicas y acuerdos de desarrollo conjunto. Estas relaciones de negocio externas o extendidas comprenden lo que ahora es un modelo de negocio ampliamente difundido: la empresa extendida. Interconnected and interdependent Customer Enterprise Customer Customer Content Technology Customer Outsource Company Provider Competitor Outsource Supplier Supplier License License Supplier 3

5 Relaciones de Negocios Extendidos La presencia de relaciones de negocios extendidos puede evidenciarse en: Relaciones con proveedores (Suministro) Relaciones con distribuidores (Demanda) Licencias (Copyrights, patentes y trademarks) Infraestructura (Servicios Internos) Proveedores Fabricantes Replicadores Integradores e instaladores Cliente relevante Desarrolladores conjuntos Organizaciones de investigación Franquicias Distribuidores Resellers Agencias de publicidad Minoristas Proveedores Fulfillment Garantía, mantenimiento y reparación Transportadores Fabricantes de equipos originales (OEM) Socios de marca compartida Joint ventures Licencias de propiedad intelectual Regalías Outsourcing para TI Servicios de RR.HH. Agencias de viajes Servicios legales Proveedores de beneficios Procesamiento de transacciones Proyectos de implementación de Software 4

6 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

7 Algunos riesgos comunes en la cadena de suministro y demanda Fuga de Ingresos: Piratería, reportes incorrectos, inventario de fallas y solicitudes excesivas Falta de procesos y controles: Gestión de Activos de Software (Software Asset Management SAM), Gestión de Inventarios, Procedimientos de Reporte Mala interpretación de los términos y obligaciones contractuales Mal manejo de productos descartables o chatarra Contabilidad errada del movimiento de productos (e.g. producción, ventas, devoluciones) 6

8 Otros riesgos en Relaciones de Negocios Extendidos Daño a la marca debido a la exposición al riesgo de reputación Riesgo financiero mediante la generación de reportes incompletos o imprecisos de la actividad objeto del contrato Si las compañías son negligentes en la gestión de los riesgos recién señalados, las relaciones establecidas podrían no solo impedir la capitalización de oportunidades para crear valor, pero podrían poner en peligro la viabilidad de la empresa. 7

9 Falta de disposiciones contractuales, generan riesgos en la entrega Disposición clave Roles, Responsabilidades, Obligaciones Derechos de propiedad Seguridad, Confidencialidad y Privacidad Recuperación de desastres Derechos de la auditoría Documentación Consideraciones globales para riesgos en la entrega Quién realiza un determinado conjunto de funciones específicas,. Propiedad intelectual definida, posesión establecida y fortalecimiento de derechos de propiedad intelectual para países clave Seguridad de datos y requerimientos de auditoría para controles de acceso físicos y lógicos, junto con seguridad en redes, seguridad de monitoreo, detección de intrusos y notificación de incidentes Planes basados en el Análisis de Impacto en el Negocio (BIA), requerimientos para pruebas e infraestructura Tipo y frecuencia de las auditorías, así como cualquier prerrequisito o limitación Calendario de retención para documentación. Personal Definición y transición de servicios Acuerdos de Nivel de Servicio Personal crítico en ubicaciones clave, nivel mínimo aceptable de habilidad/competencia, revisión de antecedentes- Zona horaria del contrato, calendario de días feriados para servicio global, etc. Métricas, requerimientos de reportes y penalidades aplicables 8

10 Modelos de Outsourcing y Riesgo Potencial 100% GRADO DE PROPIEDAD 0% Total Asistida Joint Venture (JV) Build Operate Transfer (BOT) Tercerizado Instalaciones totalmente adquiridas o construidas Control total sobre la gente, los activos los sistemas y los procesos Instalaciones totalmente adquiridas o construidas, pero administradas por asociados Instalaciones dispuestas por tercero para facilitar la entrada al mercado, reducir el riesgo y proteger derechos de propiedad intelectual Instalaciones dispuestas por un tercero inicialmente, con posterior transición y entrega Propiedad de la gente y de los activos son del tercero; Instalaciones son totalmente administradas por el tercero BAJO GRADO DE RIESGO ALTO 9

11 Riesgos en Outsourcing y Off-shoring Riesgo Riesgos en Selección de Proveedores Riesgos estratégicos Riesgos de cumplimiento regulatorio Problemas de los actores involucrados Las falta de experiencia, personal, recursos financieros o infraestructura física Las actividades inconsistentes con las metas estratégicas y financieras, y los objetivos de la organización El incumplimiento de leyes, regulaciones, estándares de la industria o el país, incluyendo requerimientos de Sarbanes-Oxley. Riesgos operacionales y tecnológicos Los procesos y recursos tecnológicos no alineados con las necesidades de la de la operación Riesgos de seguridad La inhabilidad para proteger la información y la propiedad intelectual Riesgo legal Riesgo de País No fortalecer los términos y condiciones de los contratos de outsourcing debido a la jurisdicción legal Situaciones geo-políticas, sociales y económicas Riesgo de continuidad de negocio Riesgo de estrategia de salida La falta de planes probados para recuperación y reanudación La falta de las condiciones contractuales y la estrategia que permita la terminación ordenada de los servicios 10

12 Ganando Confianza Una perspectiva cambiante Muchas compañías requieren algún nivel de reportes de sus relaciones de negocio. Historicamente, el enfoque de muchas compañías consiste en confiar en la información reportada por sus socios contractuales. Los contratos pueden ser malinterpretados o ignorados. La administración de los proyectos es delegada completamente y no se monitorean los riesgos Sería Confianza el enfoque apropiado? 11

13 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

14 Mas allá de la Confianza Implementar un programa de monitoreo al cumplimiento contractual ayuda a la compañía a ir más allá de la confianza en el gerenciamiento de las relaciones extendidas de negocios. Qué es un programa de monitoreo al cumplimiento contractual (Contrato, Riesgo y Cumplimiento CRC)? Un programa CRC o programa de monitoreo al cumplimiento promueve un enfoque polifacético y dirigido para reducir el riesgo y las pérdidas de ingresos, mientras se protege la relación de negocios con los Partners a lo largo de la empresa extendida. Un CRC busca maximizar los beneficios y minimizar pérdidas por ingresos no recibidos o gestión inadecuada de los proveedores o socios de negocio. 13

15 El racional para un programa de monitoreo al cumplimiento contractual Mayor énfasis regulatorio en aseguramiento de controles Necesidad del negocio de entregar información de la compañía Fuerte necesidad de obtener información de calidad Aumento en las brechas de seguridad Necesidad creciente de proteger el valor de la marca Aumento en la competitividad económica Responsabilidad fiduciaria para proteger los activos y maximizar las ganancias Seguimiento a los riesgos en los proyectos delegados Un imperativo de las áreas responsables por el monitoreo: Extensión natural de las responsabilidades y habilidades existentes Oportunidad de añadir valor a la organización 14

16 Beneficios potenciales de CRC Identificar oportunidades potenciales de ingresos Mejorar la precisión de los reportes Limitar la actividad del mercado gris First level bullet Fomentar la retroalimentación de clientes y socios second level dash third level arrow Evaluar Controles fourth level dash 15 fifth level arrow Una compañía líder en bienes de consumo constantemente identifica regalías inferiores a las reportados que son diez veces el costo del monitoreo del cumplimiento Una compañía productora de bienes de consumo realizar revisiones de procesos y cumplimiento para determinar la eficiencia y efectividad general de sus agencias de publicidad Un productos mundial de autos fortalece la consistencia de sus precios mediante la supervisión de su red de distribución y venta de vehículos nuevos

17 Retos del programa CRC Aunque muchas compañías son concientes de la necesidad de realizar actividades efectivas de CRC, inicialmente algunas de ellas dudan en iniciar un programa debido a los siguientes aspectos: Preocupación potencial Aprensión sobre el daño potencial de la relación Consideración Comunicación clara de los objetivos del programa Vincular al tercero en la realización de las actividades del programa Efectuar revisiones de forma transparente Costo del programa CRC El Retorno a la Inversión es significativo Muchos contratos permiten transferir los costos de la evaluación al tercero Falta de claúsula contractual que permita la revisión del cumplimiento Algunas activiades pueden realizarse sin una clausula de auditoría Los derechos de auditoría deben estar presentes en las guias de operación o algún otro material 16

18 Enfoque CRC 1. Identificar Relaciones 2. Identificar Objetivos de la relación 3. Evaluación del Riesgo 4. Evaluación del Cumplimiento 4. Mitigar Riesgo Identificar Relaciones contractuales Relaciones Clave Puntos Clave de Control Dependencia Identificar Riesgos Relaciones con riesgos relevantes Controles Clave en Terceros Evaluar data contra el contrato Oportunidades de mejora Mejorar políticas/procs. Relación Perfomance Lecciones aprendidas Entrenar negociadores Reevaluar relaciones de alto riesgo Gente Preventivo/Detectivo 17

19 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

20 Actividades de cumplimiento en diferentes industrias Sector Todas las industrias Consumo masivo TMT Manufactura Servicios financieros Ejemplos de Servicios RCC Inspecciones de publicidad Inspecciones de proveedores de TI, viajes u otros servicios Gestión de activos de Software Expectativas de los clientes (e.g., FCPA, ética, estándares de trabajo, sostenibilidad de empresa) Inspecciones de ingresos en franquicia Inspecciones de agencias de publicidad Inspecciones de regalías de marcas conjuntas Inspecciones de software de usuario final Inspección de regalías Inspección de distribución de hardware Aseguramiento de ingresos para Telecomunicaciones Inspecciones de los clientes más relevantes Inspecciones de descuento de venta Inspecciones de reclamos por garantía Inspecciones de procesamiento de pagos Servicios de aseguramiento de activos

21 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

22 Nuestro modelo de riesgos Un modelo de riesgos que involucre los diferentes frentes del proyecto es clave para la adecuada gestión de los mismos: Riesgos de la Administración del proyecto Integración del proyecto (Oficina del proyecto) Alcance Tiempo Costo Calidad Calidad Tiempo Recursos Humanos Planeación e Inicio Comunicación Riesgo Adquisiciones Riesgos del ciclo de vida del proyecto Análisis de Requerimientos Diseño Desarrollo Pruebas Implementación Post-Implementación PMO Riesgo del soporte del proyecto Integración con funciones comunes del negocio Riesgo del ambiente del proyecto Alcance Costo Alineación Estratégica Cultura Corporativa Stakeholders Ambiente del Negocio Alineación Procesos Admin. portafolio 21

23 Inicio Desarrollo de Requerimientos Diseño y Construcción Pruebas Implementación Mantenimiento Niveles de Aseguramiento Comité Supervisor Administración del proyecto y Equipos de liderazgo del cambio 1/ Controles de Administración del proyecto 2/ Controles de Calidad del Software Seguridad Controles en los procesos de Negocio 3/ Controles de integración de procesos y sistemas Conversion / Data Integrity Infraestructura de TI 22

24 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Consideraciones de control interno Preguntas

25 Generalidades del Control Interno La responsabilidad sobre los riesgos y el control no se transfiere Organización Usuaria Organización de Servicios Controles de Cliente Controles del Outsourcing Procesos del Cliente Procesos del Outsourcing Reporte Procesos del cliente administrados por el Outsourcing Auditoría 24

26 Tipos de Reportes y su utilidad para el Auditor del Usuario Tipo I Tipo II Informe de los controles en operación (a una fecha) Evalúa el diseño de control y no la efectividad de su operación Generalmente desarrollado en el primer año Auditor del usuario Informe de los controles en operación y prueba de la efectividad de la operación (generalmente no menos de 6 meses) Factor diferenciador: prueba de la efectividad operacional Mayor énfasis en las evidencias (Incumplimiento) No provee seguridad sobre ejecución de controles Provee seguridad sobre ejecución 25

27 Que ha cambiado? SAS 70 ISAE 3402 International Standard On Assurance Engagements 3402 (IAASB) Declaración de Estándares de Auditoría No. 70 (Statement on Auditing Standards No SAS 70) Reporta sobre El procesamiento de transacciones de un usuario por Organizaciones de Servicio. SSAE 16 Standards for Attestation Engagements 16 (AICPA) Fecha Efectiva Periodos terminados en o después de Junio Específico para cubrir control interno sobre reporte financiero (CIFR) Es posible combinar ambos estándares en un reporte Cumplir con los denominadores comúnes 26

28 Agenda La empresa extendida Algunos Riesgos de la Empresa Extendida Qué es un Programa de Cumplimiento? Algunas actividades ilustrativas Ejemplos de actividades en diferentes industrias Riesgos en Proyectos de TI Qué hacer cuando el control interno es una preocupación? Conclusiones y Preguntas

29 Perspectiva de Contratos, Riesgos y Cumplimiento Las empresas extendidas son la realidad actual Efectuar el due diligence es un buen negocio La evaluación del cumplimiento contractual es actualmente imperativo para el aseguramiento de los controles adecuados y mejora de los ingresos En pocas palabras: Confiar, pero verificar 28

30 Preguntas?

31