En la misma direccin

Uniendo al Gobierno,
Riesgo y Cumplimiento
(GRC)

Diciembre 2010
Agenda

El debate de hoy se centra en un modelo de Gobierno riesgo y cumplimiento integrado y

automatizado que permita afrontar los desafos y reducir los costos que trae la
implementacin de modelos GRC.

Antecedentes
Qu es GRC?
Componentes de un modelo GRC
Evolucin a un modelo GRC

2 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

 Antecedentes (1)

Riesgos, Control Interno y Gobierno Corporativo a travs del tiempo

1988 1992 1996 1999 2002 2004 2010

Basilea I COSO COBIT PGC CMPC SOX COSO Basilea II

(S. 404) ERM

?
Riesgos Marco para Marco de Principios de Cdigo de Riesgos Sector
Requerimientos Marco para la
Sector el diseo, Control Gobierno Mejores Financiero:
de control administracin
Financiero: evaluacin y Interno para Corporativo de Prcticas Estndar
interno integral
Capital mnimo monitoreo Procesos y la Organizacin Corporativas internacional
sobre los de riesgos y
de una del control aplicaciones para la (CCE) respecto del
procesos con oportunidades
institucin interno de Cooperacin y capital necesario
impacto en la
financiera en tecnologa Desarrollo frente a los
informacin
funcin a sus de informacin Econmico riesgos de cada
financiera
riesgos. (OCDE) Institucin.

entre
otras
Soluciones adoptadas de manera aislada = SILOS
3 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Antecedentes (2)

Las regulaciones globales y locales estn creciendo en volumen y en complejidad. Como

resultado, la demanda de responsabilidad legal a los Consejos de Accionistas as como a
otros rganos de gobierno y, directamente a los ejecutivos se ha intensificado, a la vez que
la administracin de los costos asociados a la gestin de riesgo y cumplimiento contina
siendo un reto.
Retos de cumplimiento
LFPDPPP PCI Requerimientos legales o de industria (ejemplo:
SOX PCI -DSS, LFPDP etc.)
Demostrar la adopcin de practicas comunes
(ejemplo: COSO, ISO31000, ISO27001, ITIL,
), Anexo 52 COBIT, ISO20000, etc.)
Prcticas internas (ejemplo: polticas,
procedimientos, estndares, etc.)
Interaccin con diferentes funciones y terceros
ITIL ISO27001 (proveedores de servicio)
COBIT
Incremento del espectro de responsabilidades
Administracin de riesgos
Administracin de cumplimiento
Seguridad de la informacin
Seguridad fsica
Continuidad del negocio
Recuperacin ante desastres
Proteccin de datos

4 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Antecedentes (3)

Silos
La adopcin de soluciones de manera aislada deriva en la generacin de silos .

Silos horizontales Silos verticales

Macro proceso rganos de gobierno

Especialidad

Geografa
Proceso Niveles directivos

Funcin

Giro
Sub - proceso Niveles gerenciales

Actividad Niveles operativos

Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro, geografa,
especialidad o funcin.
5 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Antecedentes (4)

Programas en silos Costos elevados

LFPDP SOX Esfuerzos duplicados debido a la falta de una nica fuente
de riesgos y requerimiento de controles de negocio .
Altos costos y esfuerzos extra para cumplimiento cul
es el mnimo necesario para cumplir? -
Pensamientos sobre el peor escenario.

Ineficiencia e inconsistencias
Las diferentes funciones ven los requerimientos, ambiente
operativo, riesgos y controles de manera diferente.
Auditora, cumplimiento, seguridad de la informacin,
continuidad del negocio, riesgos de TI y terceros usan un
diferente proceso y herramientas para producir los mismos
resultados.
Reportes inconsistentes de riesgos
Falta de habilidad/herramientas para realizar anlisis de
tendencias
Inconsistencia en mtricas y criterios
Falta de indicadores, no existe un anlisis predictivo

6 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Antecedentes (5)

En conclusin las empresas suelen enfrentar los siguientes problemas con el enfoque
tradicional, :

Fragmentacin en silos
Adopcin de filosofas o enfoques diferentes y en ocasiones opuestos
Desaprovechamiento de sinergias y/o mejores prcticas internas
Duplicacin de esfuerzos y/o mayor carga para ciertas reas o funciones
Falta de estandarizacin en las operaciones
Ausencia de colaboracin
Visibilidad limitada para la toma de decisiones
Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor agregado

Silo: unidad o rea de negocio que tiende al aislamiento debido a su giro,

geografa, especialidad o funcin.
7 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
 Qu es GRC?

8 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Qu es GRC?

Marco de referencia
En 2008 el OCEG (Open Compliance and Ethics Group), en el que Deloitte participa
como miembro del Consejo de Liderazgo, emiti un marco de referencia para la
integracin del Gobierno Corporativo, la Administracin de Riesgos y El cumplimiento
regulatorio.
El GRC Capability Model (Red Book), provee un marco conceptual para el desarrollo,
implementacin y seguimiento de un modelo de GRC y su herramienta tecnolgica.
http://www.oceg.org/

OCEG Red book Los 8 componentes de GRC - OCEG

9 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Qu es GRC?

GRC es un modelo de gestin que promueve la unificacin de criterios, la coordinacin de esfuerzos

y colaboracin entre los diferentes involucrados en la direccin de la organizacin; a travs de:
La integracin de los rganos/responsables del gobierno, la administracin y gestin de
riesgos, el control interno y el cumplimiento
La asignacin puntual de roles y responsabilidades del personal clave
La formalizacin de los canales de comunicacin
La aplicacin de un enfoque basado en riesgos
La implementacin de un programa de cumplimiento
Administracin del
desempeo

Toma de
decisiones

Administracin Administracin
de riesgos del cumplimiento

10 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

 Componentes de un
modelo GRC

11 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Componentes de un modelo GRC

Grficamente, los componentes de un modelo de GRC incluyen:

Seguridad de
COSO LFPDP ITIL
SOX la informacin 3rd Party PCI

Proceso comn de administracin de gobierno riesgo y cumplimiento - GRC

Dashboard (Indicadores) de riesgo y cumplimiento

Automatizacin

Autoevaluacin de riesgos y controles

Marco de reporte y responsabilidad

Marco de polticas y control integrado

Alineacin estratgica

Seguridad de
Lderes Gerentes de Lderes de Gerentes de
Legal Auditoria la
funcionales cumplimiento Ser/Arq. cumplimiento
informacin

Lneas de
Corporativo IT
negocio

13 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

El esquema de armonizacin que ofrece GRC

Requerimientos sobrepuestos Requerimientos Armonizados

El enfoque actual de cumplimiento crea mltiples programas La integracin de requerimientos reduce costos, complejidad,
separados o desconectados de cumplimiento, los cuales inconsistencias y cargas de trabajo requerido para el
tienen que sortear las inconsistencias y la ineficiencia del cumplimiento.
manejo de requerimientos de mltiples fuentes.

SOX LFPD
REGULACIONES SOX LFPD PORTAFOLIO DE PCI
PCI P
AISLADOS P REGULACIONES

REQUERIMIENTOS REQUERIMIENTOS
AISLADOS COMUNES

ACTIVIDADES Y ACTIVIDADES Y
CONTROLES CONTROLES
DUPLICADOS CONSOLIDADOS

14 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Construyendo el Risk Intelligence empresarial

Gobernabilidad del Riesgo

Principio 2: Un marco comn de
Principio 1: Una definicin comn Principio 3: Roles claves,
riesgo soportado por estndares
de riesgo enfoca a la preservacin responsabilidades y autoridades
apropiados (ej., COSO ERM, ISO,
y creacin del valor, es usada relacionadas para gestionar el
etc.) es usado a travs de la
consistentemente a travs de la riesgo son claramente delimitadas
organizacin para gestionar el
organizacin dentro de la organizacin
riesgo

Principio 4: rganos del gobierno (ej., Consejos de Accionistas , comits de auditora, etc.) tienen apropiada transparencia y
visibilidad en las prcticas de la organizacin en la gestin de riesgos para cumplir con sus responsabilidades

Infraestructura y gestin del riesgo

Principio 7: Ciertas funciones (Ej.,
Principio 6: Una infraestructura de
Auditora interna, gestin del
Principio 5: La direccin ejecutiva gestin de riesgo comn se utiliza
riesgo, conformidad, etc.) ofrecen
tiene la responsabilidad de para apoyar las unidades de
garantas objetivas, as como
disear, implementar y mantener negocio y funciones en el
supervisan e informan sobre la
un programa eficaz de los riesgos desempeo de sus
eficacia del programa de riesgo de
responsabilidades de riesgo
la organizacin

Propiedad del Riesgo

Principio 8: Las unidades de negocio (departamentos, Principio 9: Ciertas funciones (Ej., finanzas, gestin
agencias etc.) son responsables por el desempeo de del riesgo, TI, conformidad, etc.) tienen un impacto
sus negocios y la gestin del riesgo de acuerdo al penetrante sobre el negocio y proveen soporte a las
marco del riesgo establecido por la direccin unidades del negocio de acuerdo al programa de
ejecutiva. riesgos de la organizacin.

16 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

 Evolucin a un modelo
GRC

17 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Evolucin a un modelo GRC
Conocer el estado actual y plantear metas permitirn la evolucin al modelo
Non Existente Initial/Ad Hoc Repeatable Defined Process Managed Optimized
Auto -valuacin de riesgos y controles (0) (1) (2) (3) (4) (5)

Determinar la adecuacin de gestin del riesgo (evaluar riesgo).

Comprender los objetivos estratgicos empresariales.

Comprender los objetivos relevantes del negocio.

Identificar los objetivos internos de TI y establecer el riesgo.

Identificar los eventos relacionados con los objetivos.

Evaluar los riesgos asociados con los acontecimientos.

Evaluar responsabilidades de los riesgos.

Priorizar y planificar las actividades de control.

Aprobar y garantizar el financiamiento de los planes de accin.

Mantener y monitorear el plan de accin en caso de riesgo.

Establecer y ejecutar un proceso para identificar, cuantificar y priorizar los

riesgos de TI (es decir, un proceso de evaluacin de riesgos).

Determinar las directrices y procedimientos para el tratamiento y la

mitigacin de riesgos.

Establecer los criterios de aceptacin de riesgos.

Desarrollar los controles adecuados para reducir y / o transferencia de

riesgos.

2010 Estado Actual 2011 Estado Prximo

18 Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)
Solucin GRC automatizada / Plataformas en el mercado

http://www.gartner.com
http://www.forrester.com

Forrester Wave: Enterprise Governance, Risk, And Compliance

Platforms, Q3 09

19