GRC: Un nuevo enfoque? Rol del auditor interno. Setiembre, 2010

Tamaño: px

Comenzar la demostración a partir de la página:

Download "GRC: Un nuevo enfoque? Rol del auditor interno. Setiembre, 2010"

Vicente San Martín Lagos
hace 8 años
Vistas:

1 GRC: Un nuevo enfoque? Rol del auditor interno Setiembre, 2010 Mariella de Aurrecoechea, CIA

2 Agenda Concepto GRC Capability Model Rol del auditor interno 2

3 Concepto

4 Conferencia Gobierno corporativo Gobierno corporativo involucra una serie de relaciones entre la Gerencia de una compañía, su Directorio, sus accionistas yotrosstakeholders stakeholders. El Gobierno Corporativo provee la estructura a través de la cual se logran los objetivos de la compañía y se determinan los medios para lograr dichos objetivos y monitorear la performance. OCDE El Gobierno Corporativo está preocupado en lograr un equilibrio entre objetivos económicos y sociales, y entre objetivos individuales y comunitarios. El objetivo es alinear tan cerca como sea posible los intereses de los individuos, las empresas y la sociedad. Sir Adrian Cadbury, Informe del Banco Mundial de

El Gobierno Corporativo provee la estructura a través de la cual se logran los objetivos de la compañía y se determinan los medios para lograr dichos objetivos y monitorear la

5 Estructura de gobierno corporativo Socios Estratégicos COMISION FISCAL Competidores ASAMBLEA DE ACCIONISTAS DIRECTORIO Organismos Reguladores Stakeholders Proveedores Accionistas / Propietarios OTROS COMITES DE DIRECTORIO GERENCIA GENERAL GERENCIAS OPERATIVAS Calificadoras de riesgo AUDITORIA INTERNA COMITÉ DE AUDITORIA COMITÉS GERENCIALES Inversores AUDITORES EXTERNOS Medios Ciudadanos / Clientes Gente Comunidad 5

COMITES DE DIRECTORIO GERENCIA GENERAL GERENCIAS OPERATIVAS Calificadoras de riesgo AUDITORIA INTERNA

6 Conferencia Empresa Inteligente en Riesgos Responsabilidad p de los órganos g de gobierno Gobierno corporativo Roles y responsabilidades Desarrollar estrategias Definición común de riesgos Tecnología Monitorear, asegurar, y escalar y Diseñar y y probar controlar Inteligencia en Riesgos Responder Responder a los a los riesgos riesgos Identificar riesgos i Apreciar y medir y medir riesgos Procesos Enfoque común Responsabilidad de la Gerencia Ejecutiva Infraestructura Aseguramiento y monitoreo Gente Responsabilidad de las unidades de negocio Unidades de soporte 6

Riesgos Responder Responder a los a los riesgos riesgos Identificar riesgos i Apreciar y medir y medir riesgos Procesos Enfoque común

7 Qué es lo que se agrega (en este enfoque).? Ejecutivos y directores están siendo obligados a mantener altos estándares y niveles de responsabilidad Los costos de cumplimiento se han incrementado a raíz del volumen y complejidad de las leyes, normas y regulaciones Los grupos de interés son más activos y más demandantes Se demanda mayor transparencia El riesgo es penetrante, pero necesario para obtener beneficios La rapidez y consecuencia de los eventos de riesgo se incrementa dramáticamente 7

cumplimiento se han incrementado a raíz del volumen y complejidad de las leyes, normas y regulaciones Los grupos de interés

8 Con lo cual...la dimensión Cumplimiento ha tomado una importancia cada vez mayor. Entendiendo por Cumplimiento aquel proceso para demostrar a empleados y grupos de interés adherencia a las políticas, procedimientos, leyes y regulaciones. 8

9 GRC: Un enfoque integrado para Gobierno, Administración de riesgos y cumplimiento Es un sistema de Gente Procesos Tecnología OCEG: Open Compliance & Ethics Group que permite a una organización: Conocer y priorizar expectativas de los grupos de interés Fijar objetivos de negocio congruentes con sus valores y riesgos Alcanzar objetivos mientras se optimiza el perfil de riesgo y la protección del valor Operar dentro de límites legales, contractuales, sociales y éticos Proveer información apropiada, relevante y confiable a los grupos de interés Posibilitar la medición del desempeño y la efectividad del sistema 9

valores y riesgos Alcanzar objetivos mientras se optimiza el perfil de riesgo y la protección del valor Operar dentro de límites legales, contractuales,

10 Estado Actual de GRC Manejado en silos Mayormente reactivo Proyectos unitarios (Task-Force) en vez de Programas No integrado con procesos centrales y la toma de decisiones 10 Propenso a errores TI fragmentada y limitada Soluciones puntuales usadas para diferentes proyectos Fuente: OCEG

centrales y la toma de decisiones 10 Propenso a errores TI fragmentada

11 Proceso de mejora continua GRC 11

12 Fase 1: Enfoque basado en Riesgos (Top Down) Se deben tener en cuenta los siguientes aspectos: Se realizó una evaluación previa de riesgos top down? Están entendidas las áreas de mayor riesgo de cumplimiento? Fueron identificadas las áreas de mayor esfuerzo de cumplimiento? Fueron las brechas gestionadas de manera efectiva (desde el punto de vista costo-beneficio)? Han sido establecidas las definiciones de control en forma estandarizada a lo largo de toda la organización? Fue desarrollado un programa para el real traspaso de la responsabilidad de cumplimiento a las áreas de negocio? Típicamente se identifican oportunidades de ahorro significativas a través de la identificación de áreas de bajo riesgo que tienen alocados esfuerzos y costos desproporcionados 12 Una correcta consideración de los aspectos mencionados permitirá el alineamiento de las soluciones tecnológicas con el Programa de cumplimiento de la organización, aumentando los beneficios y reduciendo los costos.

Fueron las brechas gestionadas de manera efectiva (desde el punto de vista costo-beneficio)?

13 Fase 2: Racionalizar controles existentes Las diferentes regulaciones tienen muchos requerimientos comunes entre sí. Seguir gestionando el cumplimiento con aproximaciones ad-hoc e individuales genera actividades redundantes y un uso ineficiente de recursos. La aproximación manual y fragmentada que se utiliza en la actualidad para el manejo de cumplimiento no es sostenible. Los ejecutivos carecen de una foto completa de los riesgos y los costos de cumplimiento una situación exacerbada por aproximaciones fragmentadas al manejo de cumplimiento i y su falta de conexión con la gestión de riesgos y gestión de performance. 13

La aproximación manual y fragmentada que se utiliza en la actualidad para el manejo de cumplimiento no es sostenible.

14 Fase 2: Racionalizar controles existentes (continuación) Desarrollar una aproximación a un Proceso de cumplimiento empresarial unificado e integrado además, con los procesos de Gobierno Corporativo y Gestión de Riesgos reduce la complejidad, los controles duplicados y los esfuerzos y costos redundantes. d BCU,etc Una vez que todos los controles redundantes han sido consolidados, el business case de automatizar controles y estandarizar dichos procesos (GRC) resulta claramente más favorable. 14

complejidad, los controles duplicados y los esfuerzos y costos redundantes.

15 Fase 3: Apalancarse en la Tecnología Los siguientes grupos de tecnologías deberían ser considerados para reducciones de costos: Herramientas de cumplimiento Controles automatizados Monitoreo continuo Estas tecnologías ofrecen los siguientes beneficios: Mayor confiabilidad en la performance de controles Eficiencias de testeo Controles estandarizados Mejor diseño de control a través del mayor uso de controles preventivos Mejor eficiencia en el funcionamiento y operación de los controles Mayor transparencia en el proceso de cumpliento y más claridad en la Responsabilidad (certificación) 15

de controles Eficiencias de testeo Controles estandarizados Mejor diseño de control a través del mayor uso de controles preventivos Mejor eficiencia

16 Perspectiva de Oracle 16

17 Perspectiva de SAP 17

18 Fase 4: Estandarizar y centralizar procesos GRC 18

19 Estado Futuro Aproximación Integral GRC integrado con los procesos centrales y la toma de decisiones. Uso efectivo de TI Reducción de costos de cumpliento Mejor gestión de riesgos Fuente: OCEG 19

20 GRC Capability Model 20

21 GRC Capability Model Red Book 2.0, Abril, OCEG. Componentes Cultura y contexto Organizar y supervisar Apreciar y alinear Prevenir y promover Detectar y discernir Responder y resolver Monitorear y Medir Informar e integrar 21

22 GRC Capability Model Red Book 2.0 (continuación) Resultados esperados Lograr objetivos Mejorar la cultura organizacional Incrementar la confianza de los grupos de interés Preparar y proteger la organización Prevenir, detectar y reducir la adversidad Motivar e inspirar conducta deseada Mejorar la responsabilidad y eficiencia Optimizar i el valor social y económico 22

23 GRC Capability Model Red Book 2.0 (continuación) Elementos 23

24 GRC Capability Model Red Book 2.0 (continuación) Principios Qué es lo que el elemento quiere lograr Fuentes comunes de fallas Obstáculos o acciones en el logro de los objetivos Prácticas Actividades para lograr los principios Subprácticas Acciones observables 24

25 GRC Capability Model Red Book 2.0 (continuación) 25

26 GRC Capability Model Red Book 2.0 (continuación) 26

27 Algunas interrogantes GRC Es un ERM reeditado?. Es sólo tecnología? GRC requiere concentración y centralización de responsabilidad? 27

28 Rol del auditor interno

29 Rol del auditor interno Dar consejo que focalice el sistema de GRC de forma que se cumplan los requerimientos de terceros y se direccionen los riesgos de la organización Evaluar las prácticas y su adopción a la organización enfocando en la optimización de estructuras y prácticas GRC Realizar auditorías de diseño y efectividad del sistema GRC 29

30 Sobre Deloitte Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el éxito desde cualquier lugar del mundo en el que éstos operen. Los profesionales de la firma están comprometidos con la visión de ser modelo de excelencia; están unidos por una cultura de cooperación basada en la integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad empresarial, a la construcción de la confianza y al logro de un impacto positivo en sus comunidades Deloitte S.C. Miembro de Deloitte Touche Tohmatsu. Todos los derechos reservados.

Documentos relacionados

En la misma dirección. Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

En la misma dirección. Uniendo al Gobierno, Riesgo y Cumplimiento (GRC) En la misma dirección Uniendo al Gobierno, Riesgo y Cumplimiento (GRC) Diciembre 2010 Agenda El debate de hoy se centra en un modelo de Gobierno riesgo y cumplimiento integrado y automatizado que permita