¿grc (gobierno, riesgo y cumplimiento) para todos...
TRANSCRIPT
¿GRC (Gobierno, Riesgo y Cumplimiento) para todos en la
organización?
¡Sí se puede!Presentado por:
LCP Gabriela Reynaga
CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F
23 de abril 2015
CONTENIDO
• GRC Introducción
• Cómo crea valor GRC
• Principled Performance
• Modelo de capacidad de GRC
• Implementación de GRC en la organización
• Proceso de implementación
• Beneficios
• Retos
• Contacto
GRC
Gobierno Riesgo Cumplimiento
Capacidad que habilita una organización para el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
© OCEG. All rights reserved.
MODELO DE NEGOCIOEstrategia, personas, procesos, tecnología e
infraestructura disponible para el logro de los objetivos.
OBJETIVOSEstratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
INCERTIDUMBRE
¿CÓMO CREA VALOR GRC?
© OCEG. All rights reserved.
MODELO DE NEGOCIOEstrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
OBJETIVOSEstratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
OPORTUNIDADES
OPORTUNIDADES
OPORTUNIDADES
OB
STA
CU
LOS
© OCEG. All rights reserved.
¿CÓMO CREA VALOR GRC?
MODELO DE NEGOCIOEstrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
OBJETIVOSEstratégico,
operacionales, de
clientes, de
procesos y de
cumplimiento.
OPORTUNIDADES
OPORTUNIDADES
OPORTUNIDADES
OB
STA
CU
LOS
© OCEG. All rights reserved.
¿CÓMO CREA VALOR GRC?
MODELO DE NEGOCIOEstrategia, personas, procesos,
tecnología e infraestructura disponible
para el logro de los objetivos.
LIMITE OBLIGATORIOLímite establecido por las fuerzas
externas incluyendo las leyes,
regulaciones gubernamentales y otras
normas.
OBJETIVOSEstratégico,
operacionales, de
clientes, de procesos
y de cumplimiento.
OPORTUNIDADES
OPORTUNIDADES
OPORTUNIDADES
LÍMITE VOLUNTARIOLimite definido por la Administración,
incluido los valores organizacionales, las
obligaciones contractuales, las políticas
voluntarias y otras reglas.
© OCEG. All rights reserved.
¿CÓMO CREA VALOR GRC?
© OCEG. All rights reserved.
Principled Performance
Gestión de
Gobierno
Gestión del Desempeño
Gestión
Control Interno
Gestión de la Cultura &
Etica
Gestión del Cumplimiento
Gestión del Riesgo
NACD, OECD, King 3Domain-Specific Governance (COBIT 5, etc.)
COBIT 5Balanced ScorecardStrategic PlanningBusiness IntelligenceDecision ScienceQuality Management
COSOCoCoTurnbullCOBIT 5
US FSGAS 3806
Quality ManagementDomain-Specific
COSO ERMISO 31000 / BSI 31100
UK Orange BookIRM / ALARM
Domain-Specific (BASEL)
Social PsychologyBehavioral Economics
Learning Theory
PRINCIPLED PERFORMANCE
MODELO DE CAPACIDAD DE GRC
COMPONENTES INTEGRADOS
© OCEG. All rights reserved.
INTERACTUAR
DETECTAR
ORGANIZAR
EVALUARMEDIR
PRO-ACTUARRESPONDER
CONTEXTO
© OCEG. All rights reserved.
Mejorar la cultura organizacional
Aumentar la confianza de partes interesadas
Preparar y Proteger la Organización
Prevenir, Detectar y Reducir la adversidad
Motivar e Inspirar las conductasdeseadasMejorar la capacidad de respuesta y eficiencia
Optimizar el valor económico y social
Lograr los objetivos del negocio
INTERACTUAR
DETECTAR
ORGANIZAR
EVALUARMEDIR
PRO-ACTUARRESPONDER
CONTEXTO
MODELO DE CAPACIDAD DE GRC
RESULTADOS UNIVERSALES
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
Modelo de capacidad de GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
Modelo de capacidad de GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
Modelo de capacidad de GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
© OCEG. All rights reserved.
I
D
O
EM
PR
ORGANIZARO1 – Compromisos O2 – RolesO3 – Responsabilidad
INTERACTUAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología
EVALUAR A1 – IdentificaciónA2 – AnálisisA3 – Planeación
PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de ConductaP3 – PolíticasP4 – EducaciónP5 – IncentivosP6 – Relaciones con Terceros P7 – Financiamiento de Riesgos
DETECTARD1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación
RESPONDERR1 –Controles y Acciones de RespuestaR2 – Investigación InternaR3 – Investigación de terceros R4 – Respuesta a las crisisR5 – Remediación R6 – Retribución
MEDIRM1 – Monitoreo de ContextoM2 – Monitoreo de DesempeñoM3 – Mejoramiento SistémicoM4 – Aseguramiento
CONTEXTOC1 – Contexto Externo C2 – Contexto InternoC3 – CulturaC4 – Objetivos
MODELO DE CAPACIDAD DE GRC: ELEMENTOS
SITUACIÓN ACTUAL
(ORGANIZACIONES SIN GRC)
• Gestionada en SILOS
• Reactiva
• Métodos por programas o proyectos.
• Separado de los procesos del core y de la toma de decisiones.
• Mal necesario
• Uso fragmentado de la Tecnología
SITUACIÓN DESEADA (ORGANIZACIONES CON GRC)
• Enfoque de la Empresa
• Proactivo
• Método Sistémico
• Incorporado dentro de los proceso del core y la toma de decisiones.
• Valor Agregado
• Soluciones con arquitectura empresarial.
INFORMACIÓN DE CALIDAD INTEGRADA
ESTADODESEADO
SUPERVISIÓN EFECTIVA
INTEGRIDADETICA REPORTES Y ANALISIS INTEGRADOS
ESTRATEGIA DE GRC INTEGRADA
ACTIVIDADES INTEGRADAS DE RIESGO Y CONTROL
LEGAL, RH, TI, OTROS
CUMPLIMIENTO
RIESGOS
AUDITORIA
FINANZAS
OPERACIONES
INFORMACIÓN DE CALIDAD INTEGRADA
NACD, OECD, King 3Domain-Specific Governance (COBIT 5, etc.)
INTEGRACIÓN Y ORQUESTACIÓN DE LAS ÁREAS
Finanzas Finanzas
ComitésConsejoDirectivo
Principled Performance
Gobierno
Gestión del Desempeño
Gestión del Control & Auditoría
Gestión de la Ëtica y Cultura
Gestión del Cumplimient
o
Gestión del Riesgo
RecursosHumanos
OperacionesLegal
Tesorería
CumplimientoNormas
Estrategia
ReportesFinancieros
Operaciones
Contractos
Calidad
Todos
IMPLEMENTACIÓN DE GRC
• ¿Por dónde empezar?
• ¿Está preparada la organización para llevar a cabo una implementación de la
estrategia de GRC?
• Requerimientos mínimos
PROCESO DE IMPLEMENTACIÓN DE LA ESTRATEGIA DE GRC
Sensibilización
Planeación
Diseño de soluciónImplementación
Mantenimiento y mejora continua
PROCESO DE IMPLEMENTACION DE LA ESTRATEGIA DE GRC
Plan estratégico de GRC• Misión / Visión
• Resultados e hitos de madurez (con una correlación con los objetivos de negocio) de casos de negocios
• Estrategia de medición (métricas, indicadores, métodos de cálculo, frecuencia de medición, la naturaleza y la frecuencia de presentación de informes)
• Organigrama
• Capital humano / plan de relaciones con los proveedores (para la implementación y las operaciones en curso)
• Plan financiero (puesta en marcha y operaciones)
• Plan de Tecnología
• Plan de aseguramiento
• Plan de implementación
BENEFICIOS (SÓLO ALGUNOS)
• Mejora de eficiencia operativa de la organización–Alineación estratégica. –Reducción de costos de operación
• Mejora de percepción de la gestión–Confiabilidad –Transparencia.–Disminución de fugas de información
• Blindaje: Reducción de riesgos de gestión–Marco operativo formal–Monitoreo continuo con tableros de control dinámicos
• Sistema de Gestión de Cumplimiento–Aseguramiento–Atención de auditorías
RETOS
• La implementación de GRC no es implementar tecnología solamente.
• Debe existir un deseo auténtico para llevar a cabo un cambio en todos los niveles de la organización.
• Deben estar involucrados todos los niveles desde el inicio de la definición de la estrategia.
• La tecnología apoya la estrategia de GRC siempre y cuando se tenga en mente que es un apoyo y no un todo para la implementación de la estrategia.
Q & A
CONTACTO
LCP GABRIELA REYNAGACRISC, GRCP, CONSEJERA INDEPENDIENTE CERTIFICADA, COBIT 5 F
GLOBAL PRACTICE INTERNACIONAL
+ 52 1 33 1247 9958