Lecciones aprendidas de implementación GRC 20 de Abril, 2016
Objetivo Compartir con las organizaciones que están en busca de mejorar o implementar su gobierno corporativo, administración de riesgos y la función de auditoría a través del uso de herramientas GRC (Gobierno, Riesgo y Cumplimiento), las lecciones aprendidas que la implementación de estas herramientas dejan en las organizaciones. 2 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Contenido - Introducción - Lección 1: Cultura organizacional - Lección 2: Necesidades y definiciones del negocio - Lección 3: Personal clave (roles y responsabilidades) - Lección 4: Identificación de información básica para nutrir un GRC - Lección 5: Administración y comunicación de riesgos del proyecto - Lección 6: Manejo del cambio organizacional - Lección 7: Sustentabilidad - Preguntas y respuestas 3 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción
Introducción: Qué es GRC? Gobierno, Administración de Riesgos y Cumplimiento (Governance, Risk Management, and Compliance o "GRC ) refleja una nueva manera de como las Organizaciones pueden adoptar un enfoque integral que relacione estas tres áreas; esta integración incluye muchas actividades dentro de una organización tales como: auditoria interna, programas de cumplimiento como SOX, administración del riesgo, riesgo operativo, administración de incidentes, etc. GRC busca que en una organización actúe de manera ética de acuerdo con sus riesgos, políticas internas y regulaciones externas, a través de la alineación de estrategias, procesos, tecnología y personas mejorando con ello la eficacia y eficiencia de sus operaciones. 5 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción: Qué es un sistema GRC? De manera inicial, el sistema GRC fue impulsado por SOX, pero el concepto y las expectativas de GRC han cambiado y ahora este tipo de sistemas son vistos como el medio para alcanzar una Administración de Riesgos Corporativa. Específicamente esto representa el administrar riesgos como una transacción o una actividad de cumplimiento para agregar valor al negocio, mediante la mejora de la toma de decisiones a nivel de planeación estratégica y de la operación. Las actividades realizadas en el sistema GRC son importantes ya que aumentan el rendimiento de la organización y la protege tanto interna como externamente. Sin GRC Con GRC 6 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción: Qué es un sistema GRC? Características de un programa integral de GRC Adoptar un lenguaje común Comunicación entre los diferentes equipos de trabajo relacionados Supervisión centralizada de riesgos y cumplimiento Utilización de una sola plataforma GRC Estandarización y consolidación de las métricas de riesgos 0% 20% 40% 60% 80% 100% Barreras para implementar exitósamente GRC Alto costos y tiempos largos de implementación Falta de una sola visión y un lenguaje común de riesgos Gestión del cambio para apoyar la implementación Falta de solución tecnológica QUE REQUIERE? 0% 20% 40% 60% 80% 100% Dominios aislados de GRC Puntos de vista centralizados de políticas Cumplimiento automatizado Objetivo del programa GRC Optimización de costos Cumplimiento demostrable CUALES SON SUS BENEFICIOS? Asignación efectiva de activos / recursos Madurez de la correlación programa de GRC Práctica integrada de riesgos y cumplimiento Soporte de múltiples componentes de GRC Vista central de Riesgos Reporte consolidado Alineado con la estrategia del negocio Requerimientos clave - plataforma de GRC Alineación estrategias, sistemas de información KPI/KRIs Tableros de control de empresa 7 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser Valor Ventaja competitiva Resultados optimizados Proteger la inversión de terceros Reducción de pérdidas operativas e incidentes Disminuir el costo total del cumplimiento Cumplimiento regulatorio de informes y reportes públicos Ventaja competitiva de gestión del cumplimiento Investigación de ISACA 17% + ingreso 14% + utilidad 96% - pérdidas financieras 50% - gasto en el programa anual de cumplimiento Investigación de Aberdeen Group 20% + en la habilidad para priorizar inversiones 16% + al optimizar procesos actuales
Introducción: Objetivos generales de las herramientas GRC Algunos de los objetivos de una plataforma de GRC: El negocio (entiéndase los dueños de los procesos) pueda hacerse responsable de administrar sus riesgos y controles. Las áreas normativas y de cumplimiento (AI, Control Interno, Riesgos, Cumplimiento, etc.), se dediquen a estar cuidando lo que realmente es importante para el negocio. Los procesos de cumplimiento y entrega de información regulatoria se vuelvan más eficientes y efectivos. Las principales áreas usuarias de este tipo de herramientas son: Auditoria Interna Los diferentes comités de Gobierno Corporativo. Riesgo y cumplimiento. Control interno. Normatividad, Políticas y Procedimientos. Usuarios de las áreas de negocio, responsables de la administración de los riesgos. Altos Ejecutivos. 8 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción: Principales funcionalidades Las principales funciones que soporta una plataforma GRC son: Administración de riesgos: Identificación de riesgos y su calificación, basados en los modelos de riesgos definidos por la organización. Definición de controles y sus pruebas; así como las actividades y planes de trabajo que permitan fortalecer el ambiente de control. Riesgo operativo. Administrar la materialización de los riesgos (pérdidas). Administración del cumplimiento: Soportar diferentes marcos regulatorios, normas, leyes, etc.(coso 2013, SOX, JSOX, EuroSOX, ISO9000, estándares de industria, regulaciones ambientales, etc.). Documentación, reportes, definición de objetivos de control, y administración de los riesgos y controles asociados. Concientización hacia toda la organización (políticas, código de ética, evaluaciones del conocimiento asociado al cumplimiento, etc.). 9 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción: Principales funcionalidades (cont.) Administración de Políticas y Procedimientos: Administración documental que permite mantener el ciclo de vida de las políticas y procedimientos, desde su creación, revisión, cambios, publicación y archivo. Administración de Auditorias: Planeación y programación de auditorias y actividades relacionadas. Identificación, seguimiento y mitigación de hallazgos. Administración y reportes de tiempo de actividades y personal. Administración y estandarización de papeles de trabajo. Autoevaluación: Capacidad de recolectar información, de manera rápida y oportuna, a través de toda la organización, de temas como: Autoevaluación de riesgos y controles. Comunicación y entendimiento de políticas y procedimientos. Evaluación de las funciones de: Auditoría Interna, Riesgos, Cumplimiento, etc. 10 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Introducción: Principales funcionalidades (cont.) Seguimiento Definición de flujos de trabajo, planes de acción, tareas, con responsables y fechas compromiso de solución. Alertas automatizadas. Bitácoras de cambios. Explotación de la información: Mapas de calor. Tableros de control con indicadores de desempeño: Auditoría Cumplimiento Riesgos Etc. Reportes de cumplimiento. Informes de auditoría. Etc. 11 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lecciones aprendidas
Lección 1: Cultura organizacional q Indefinición de los objetivos de cada proceso operativo que se ejecuta en la organización q Falta de un lenguaje común de riesgos q Estrategia desalineada o no comunicada q Falta de conocimiento del objetivo del Gobierno Corporativo q Inadecuados canales de comunicación entre los diferentes niveles de la organización q El cumplimiento y/o la administración de riesgo son responsabilidad de Auditoría Interna o Control Interno q Resistencia al cambio Auditoría Interna Control Interno 13 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 2: Necesidades y definiciones del negocio q El negocio (entiéndase los dueños de los procesos) debe hacerse responsable de administrar sus riesgos y controles q Generación de perdidas en el negocio, qué está pasando? q Objetivo y Alcance del GRC (Cumplimiento, riesgos y controles, auditoria interna, etc.) - Yo, responsable de la operación, para que quiero administrar los riesgos? - Vamos a cotizar en bolsa - Tenemos un nuevo marco regulatorio que cumplir (interno y externo) - Vamos a implementar un sistema de calidad - Actualización del actual marco normativo o la implementación de uno nuevo - Administración de las políticas y procedimientos 14 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 3: Personal clave (roles y responsabilidades) q De acuerdo al alcance del GRC, involucrar a los mejores elementos y con mayor conocimiento de la organización: Responsables de procesos Riesgos AI Calidad Riesgos Control Normatividad Interno Control Interno Auditoría Interna Calidad Políticas y procedimientos q Definir a un líder de proyecto: Reconocido dentro de la organización Negociador, con capacidad de toma de decisión Con conocimiento de Gobierno Corporativo Tiempo dedicado al proyecto de implementación 15 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 3: Personal clave (roles y responsabilidades) Cont. q Consultores con experiencia y conocimiento en: Gobierno Corporativo Marcos de Control (COSO, ISO, COBIT, etc.) Ejecución de auditorias Identificación de riesgos Implementación del sistema q Definiciones de Comités responsables del proyecto: Comité Ejecutivo Comité Operativo 16 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 4: Identificación de información básica para nutrir un GRC q Generales: Estructura organizacional y de procesos q Riesgos: Marco de Control (COSO, COBIT) Matrices de riesgos y controles Evaluaciones Información histórica q Políticas y procedimientos Estructura de documentos basada en los distintos tipos que manejan Documentos a ser cargados en la estructura definida Flujos de aprobación Soporte de evaluación del conocimiento y aceptación de políticas 17 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 4: Identificación de información básica para nutrir un GRC (Cont.) q Auditoria Interna Metodologías o actividades principales de los tipos de revisiones Papeles de trabajo Formatos estándar Informes q Cumplimiento Estructura de cumplimiento (listado de entes reguladores, normas, leyes, etc.) Documentos a ser cargados en la estructura definida Reportes regulatorios Cuestionarios de cumplimiento 18 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 5: Administración y comunicación de riesgos del proyecto q Definición de un esquema de gobierno del proyecto, donde: Exista un administrador del proyecto independiente al cliente y al implementador Se presenten reportes de estatus que considere: Avances Atrasos Identificación de riesgos, definición de medidas mitigatorias y asignación de responsables Esquemas de escalamiento de riesgos Comunicación formal y oportuna de situaciones extraordinarias Reglas claras de aprobación a modificaciones al alcance y / o duración del proyecto Entregables claros (acordados desde el inicio del proyecto, revisados y aprobados por los usuarios, etc.) 19 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 6: Manejo del cambio organizacional q Definir como parte del proyecto un componente del manejo del cambio, dirigido por externo, con participación de personal interno q Al inicio del proyecto, identificar (junto con el líder del proyecto), áreas de alto riesgo: Áreas con mucha carga de trabajo y/o poco personal Áreas / personas con resistencia al cambio (experiencia en proyectos similares o anteriores) Proyectos que se estén ejecutando en ese momento q Definir planes de comunicación, utilizando los medios ya conocidos dentro de la organización q Definir estrategias de comunicación de cambios organizacionales originados por la implementación de la herramienta. q Definir estrategias por área / personal relacionadas con la resistencia y/o participación inadecuada en el proyecto 20 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Lección 7: Sustentabilidad q Definición de champions, responsables del uso de la herramienta en las diferentes áreas q Reportes ejecutivos, de los beneficios de prevenir q Ahorros potenciales en honorarios de auditores externos q Cumplimientos regulatorios en tiempo y forma q Esquemas de comunicación de los beneficios de usar la herramienta q Integrar los beneficios y responsabilidades del GRC y el uso de la herramienta al programa de capacitación de empleados (alta rotación de personal) q Esquema de monitoreo sobre el aprovechamiento de la herramienta ligado a indicadores de desempeño de los empleados q Aprovechamiento de las herramientas que ofrece el software para efectos de comunicación, evaluación y seguimiento del uso mismo de la herramienta 21 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Preguntas y respuestas
Preguntas y respuestas 23 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
Gracias por su atención!
Contactos Roberto Abad Managing Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 roberto.abad@protivitiglobal.com.mx Luis Cabrera Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 luis.cabrera@protivitiglobal.com.mx Iván Torres Manager Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 Ivan.torres@protivitiglobal.com.mx 25 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser
26 2016 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser