GRC (Gobierno, Riesgo y Cumplimiento) para todos en la organización? Sí se puede! Presentado por: LCP Gabriela Reynaga CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F 23 de abril 2015
CONTENIDO GRC Introducción Cómo crea valor GRC Principled Performance Modelo de capacidad de GRC Implementación de GRC en la organización Proceso de implementación Beneficios Retos Contacto
GRC Gobierno Riesgo Cumplimiento Capacidad que habilita una organización para el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
CÓMO CREA VALOR GRC? INCERTIDUMBRE MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento.
OBSTACULOS CÓMO CREA VALOR GRC? MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OPORTUNIDADES OPORTUNIDADES OPORTUNIDADES OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento.
OBSTACULOS CÓMO CREA VALOR GRC? MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OPORTUNIDADES OPORTUNIDADES OPORTUNIDADES OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento.
CÓMO CREA VALOR GRC? LIMITE OBLIGATORIO Límite establecido por las fuerzas externas incluyendo las leyes, regulaciones gubernamentales y otras normas. MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OPORTUNIDADES OPORTUNIDADES OPORTUNIDADES OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento. LÍMITE VOLUNTARIO Limite definido por la Administración, incluido los valores organizacionales, las obligaciones contractuales, las políticas voluntarias y otras reglas.
PRINCIPLED PERFORMANCE NACD, OECD, King 3 Domain-Specific Governance (COBIT 5, etc.) Gestión de Gobierno COSO ERM ISO 31000 / BSI 31100 UK Orange Book IRM / ALARM Domain-Specific (BASEL) Gestión del Riesgo Gestión del Desempeño COBIT 5 Balanced Scorecard Strategic Planning Business Intelligence Decision Science Quality Management Principled Performance US FSG AS 3806 Quality Management Domain-Specific Gestión del Cumplimiento Gestión Control Interno COSO CoCo Turnbull COBIT 5 Gestión de la Cultura & Etica Social Psychology Behavioral Economics Learning Theory
MODELO DE CAPACIDAD DE GRC COMPONENTES INTEGRADOS CONTEXTO ORGANIZAR MEDIR EVALUAR INTERACTUAR RESPONDER PRO-ACTUAR DETECTAR
MODELO DE CAPACIDAD DE GRC RESULTADOS UNIVERSALES CONTEXTO ORGANIZAR Lograr los objetivos del negocio Mejorar la cultura organizacional MEDIR EVALUAR Aumentar la confianza de partes interesadas RESPONDER INTERACTUAR PRO-ACTUAR Preparar y Proteger la Organización Prevenir, Detectar y Reducir la adversidad DETECTAR Motivar e Inspirar las conductas deseadas Mejorar la capacidad de respuesta y eficiencia Optimizar el valor económico y social
Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos M R O I D E P DETECTAR D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos
SITUACIÓN ACTUAL (ORGANIZACIONES SIN GRC) Gestionada en SILOS Reactiva Métodos por programas o proyectos. Separado de los procesos del core y de la toma de decisiones. Mal necesario Uso fragmentado de la Tecnología
SITUACIÓN DESEADA (ORGANIZACIONES CON GRC) ESTADO DESEADO SUPERVISIÓN EFECTIVA ETICA REPORTES Y ANALISIS INTEGRADOS INTEGRIDAD Enfoque de la Empresa Proactivo LEGAL, RH, TI, OTROS FINANZAS OPERACIONES ESTRATEGIA DE GRC INTEGRADA ACTIVIDADES INTEGRADAS DE RIESGO Y CONTROL AUDITORIA RIESGOS CUMPLIMIENTO Método Sistémico Incorporado dentro de los proceso del core y la toma de decisiones. Valor Agregado INFORMACIÓN DE CALIDAD INTEGRADA INFORMACIÓN DE CALIDAD INTEGRADA Soluciones con arquitectura empresarial.
INTEGRACIÓN Y ORQUESTACIÓN DE LAS ÁREAS NACD, Consejo OECD, King 3 Domain-Specific Directivo Governance (COBIT 5, etc.) Finanzas Gobierno Comités Finanzas Tesorería Gestión del Riesgo Gestión del Desempeño Estrategia Cumplimiento Normas Legal Principled Performance Operaciones Recursos Humanos Contractos Gestión del Cumplimient o Calidad Gestión de la Ëtica y Cultura Gestión del Control & Auditoría Operaciones Reportes Financieros Todos
IMPLEMENTACIÓN DE GRC Por dónde empezar? Está preparada la organización para llevar a cabo una implementación de la estrategia de GRC? Requerimientos mínimos
PROCESO DE IMPLEMENTACIÓN DE LA ESTRATEGIA DE GRC Sensibilización Mantenimiento y mejora continua Planeación Implementación Diseño de solución
PROCESO DE IMPLEMENTACION DE LA ESTRATEGIA DE GRC Plan estratégico de GRC Misión / Visión Resultados e hitos de madurez (con una correlación con los objetivos de negocio) de casos de negocios Estrategia de medición (métricas, indicadores, métodos de cálculo, frecuencia de medición, la naturaleza y la frecuencia de presentación de informes) Organigrama Capital humano / plan de relaciones con los proveedores (para la implementación y las operaciones en curso) Plan financiero (puesta en marcha y operaciones) Plan de Tecnología Plan de aseguramiento Plan de implementación
BENEFICIOS (SÓLO ALGUNOS) Mejora de eficiencia operativa de la organización Alineación estratégica. Reducción de costos de operación Mejora de percepción de la gestión Confiabilidad Transparencia. Disminución de fugas de información Blindaje: Reducción de riesgos de gestión Marco operativo formal Monitoreo continuo con tableros de control dinámicos Sistema de Gestión de Cumplimiento Aseguramiento Atención de auditorías
RETOS La implementación de GRC no es implementar tecnología solamente. Debe existir un deseo auténtico para llevar a cabo un cambio en todos los niveles de la organización. Deben estar involucrados todos los niveles desde el inicio de la definición de la estrategia. La tecnología apoya la estrategia de GRC siempre y cuando se tenga en mente que es un apoyo y no un todo para la implementación de la estrategia.
Q & A
CONTACTO LCP GABRIELA REYNAGA CRISC, GRCP, CONSEJERA INDEPENDIENTE CERTIFICADA, COBIT 5 F GLOBAL PRACTICE INTERNACIONAL greynaga@globalpractice.com.mx + 52 1 33 1247 9958