Sesin 244

Gobierno Riesgo y Cumplimiento

1 de octubre del 2013
Conferencista - Biografa
Alirio Fernando Izquierdo Duarte, CISA
Graduado como Ingeniero de Sistemas (1989), con estudio de especializacin en Auditora
de Sistemas (1999), Certificado como Auditor de Sistemas de InformacinCISA (1999), y
Magster en Economa (2009).
Profesor universitario por ms de 10 aos, conferencista internacional en temas de
auditora, seguridad y control en sistemas de informacin, estndares de auditora de
sistemas, administracin de riesgos y gerencia de proyectos de TI.
Se ha desempeado en el rea de Auditora de Sistemas durante los ltimos 25 aos en
empresas de los sectores Industrial, Financiero, Comercial y Estatal. Desde 1995 presta sus
servicios como Ingeniero Experto para el Departamento de Control Interno del Banco de la
Repblica de Colombia (Banco Central).
En Isaca, fue presidente del captulo 126-Bogot-Colombia, y actualmente presta su servicio
para el Government Agency Board en el Sub Comit para Latinoamrica.
Pgina 3
Aunque no todo el mundo sabe lo
que significa la GRC, los conceptos
involucrados son los que todo el
mundo entiende.

Broady, Denise Vu &. Roland, Holly [2008]

Pgina 4
Objetivos
Presentar las mejores prcticas y tendencias de la
industria que ayuden a construir, crecer y mejorar en
el buen gobierno, administracin del riesgo y
cumplimiento (GRC) a las empresas.
Compartir experiencias en GRC, conocer algo de lo
hay en el mercado y brindar un enfoque
estructurado para enfrentar los temas de
cumplimiento, administracin de riesgo y
gobernabilidad, con nfasis en TI.
Presentar los conceptos relativos a Gobierno, Riesgo
y cumplimiento.


Pgina 5
Objetivos
Presentar modelos de referencia para emprender
un programa GRC en su organizacin y las
implicaciones de la integracin de tareas de
Administracin de Riesgos, Administracin de
procesos, Gobierno empresarial y las agendas de
cumplimiento.
Compartir elementos prcticos para participar y
auditar un proyecto GRC.

Pgina 6
Agenda para hoy
1. Origen del Concepto GRC
2. Marcos de referencia
3. Lo que dice el mercado
4. Proyecto de implementacin GRC
5. Uso del GRC por parte del auditor
Pgina 7
Contextualizando.
Para algunos es moda
Un concepto nuevo en las tendencias de administracin
Otro acrnimo ms .. visto como un dolor de cabeza
organizacional?
Enterprise Risk Management (ERM)
Control Self Assesment (CSA)
Enterprise Resource Planning (ERP)
Customer Relationship Management (CRM)
Supply Chain Management (SCM)
Product Lifecycle Management (PLM)
Balance Score Card (BSC)
Corporate Social Responsibility (CSR),
Pgina 8
Qu caus que surgiera GRC?
Los escndalos de los 90s en grandes empresas, revelaron el fracaso
de los controles externos para contrarrestar malos comportamientos
empresariales.
Ataques terroristas que provocaron el endurecimiento de os
controles en el comercio y la economa en general.
La creciente escasez combustibles, preocupaciones sobre el
calentamiento global y el impacto ambiental, que demandan ser
eficientes en el consumo energtico, reduccin de la contaminacin
y tratamiento adecuado de los deshechos as como el deseo de las
empresas de demostrar viabilidad a largo plazo.
Problemas de inestabilidades polticas y de crisis econmicas han
forzado un cambio en la forma de cmo el mundo corporativo
enfrenta los temas de cumplimiento.

Pgina 9
Qu caus que surgiera GRC?
GRC
Globalizacin
Complejidad de
Legislacin ms all
de las fronteras
Poltico Y
Econmico
Inestabilidades de
gobiernos y crisis
econmicas
Mercado
Presiones y
competencia vs
eficiencia
operacional
Stakeholdes
Mayores exigibilidades
de inversionistas,
pblico y gobierno
tica
Demostrar que
empleados y accionistas
se adhieren y cumplen
las reglas
Tecnologa
Surgen SW que
integran Riesgo,
Control, gobierno,
polticas cumplimiento
Entes de Control
Incremento en
Regulacin, Hallazgos
y acciones
Escndalos
Financieros
Comportamientos
empresariales errneos
Pgina 10
GRC - algo de historia
[1]
Ha existido durante muchos tiempo; Inicia junto al concepto de
empresa, como los conocemos hoy.
Responde a las preocupaciones de la separacin entre propiedad y
administracin (problema del agente-principal)
Refleja la cambiante relacin entre empresas, sociedad y gobierno.

[1]
Las empresas empiezan a prestar ms atencin a su conducta, en todos los
niveles, con el fin de evitar sanciones (concepto de regulacin)
EJ: la FDA en USA -1906, modelo pblico de cumplimiento.
1 dcada de Siglo XXI surge como una clase de software.
Integrador para automatizar controles, apoyar el cumplimiento de regulacin y
supervisin, control interno, auditoras, riesgos y gestin de procesos.
Michael Rasmussen en 2002 es el primero en definir, modelar y
etiquetar GRC, cuando trabajaba para Forrester Research.

[2]
[1] Adaptado de: Gauteng Business News. (2010)
[2] Rasmussen, Michael. (2013). GRC 3.0 A History of GRC
Pgina 11
GRC- algo de historia (Cont)
Cambio de paradigma empresarial
Forzado" a cumplir (leyes), por la adopcin voluntaria de una
visin de: autoregulacin y autocontrol, en el desarrollo del
negocio.
El cumplimiento se integra al concepto en los aos 1980
y 1990, con el auge de las economas de mercado
Fin de primera dcada de 2000 incorpora el tema de
tica.
..cumplimiento no equivale necesariamente a conducta tica
Gobierno, Riesgo y Cumplimiento (GRC): concepto que
se ha convertido en tema clave de negocio en el mundo.

Pgina 12
Gobierno
Corporativo
Cumplimiento
Administracin
de Riesgos
GRC, Convergencia de conceptos
Pgina 13
GRC, Convergencia de conceptos
Estos tres aspectos se estn alineando cada vez ms y
convergen a su integracin
El objetivo: mejorar el desempeo de las empresas y el logro de
las expectativas de las partes interesadas.
La aplicacin de los conceptos GRC requiere enfoques
que se basan en facilitadores de diversos tipos:
Principios, Polticas, Modelos, Marcos de referencia, Estructuras
organizacionales.
Pgina 14
Definicin de GRC
Es la capacidad de lograr objetivos de manera fiable
[Gobierno] al mismo tiempo que se maneja y enfrenta la
incertidumbre [riesgo] y se acta con integridad
respetando las obligaciones regulatorias y los
compromisos voluntarios [cumplimiento]
[3]



[3] Definicin de GRC de la OCEG Open Compliance & Ethics Group. (2012).OCEG Red Book GRC Capability Model, Versin 2.1.
Tomada de http://www.gaia-tech.com/wp-content/uploads/2010/12/gaia-man-gears.jpg
Marcos de referencia
Pgina 16
Gobierno Corporativo
Involucra una serie de relaciones entre la gerencia de una
compaa, su Directorio, sus accionistas y otras partes interesadas.
Provee la estructura a travs de la cual se logran los objetivos de la
compaa y se determinan los medios para lograr dichos objetivos y
hacer seguimiento a su desempeo

[4]
Sistema por el cual las sociedades pblicas y privadas son dirigidas y
controladas.
La estructura del gobierno corporativo especifica la distribucin de los
derechos y de las responsabilidades entre los diversos actores de la
empresa.
[4] OECD: Organizacin para la Cooperacin y Desarrollo Econmico. Declaracin de Principios de 1998:2004.
Pgina 17
Administracin de Riesgos
Proceso por el cual el Directorio, la administracin y el personal de
una empresa u organizacin maneja los riesgos, aplicado diferentes
estrategias para identificar, evaluar, medir y dar tratamiento a los
riesgos para reportar y proporcionar seguridad e integridad
razonables respecto del logro de objetivos.
Este proceso le permite a la empresa
Administrar los riesgos que amenazan su existencia, sus activos,
utilidades, al personal o los servicios que presta.
Tomar los riesgos adecuados, de acuerdo al nivel de riesgo al cual estn
dispuestos a exponerse.
Conocer y comprender los riesgos, identificando los recursos y esfuerzos
necesarios para alcanzar los resultados deseados,
Proveer los medios para la temprana deteccin y correccin de
decisiones erradas o inadecuadas.

Pgina 18
Complimiento (Compliance)
Sistemas y procesos por los cuales una empresa asegura que sus
empleados y accionistas se adhieren y actan de conformidad a las
reglas del negocio y requisitos legales.
Se brinda seguridad razonable del cumplimiento de aspectos regulatorios,
directrices, normas, estndares, reglamentos, derechos u obligaciones
contractuales
Se asegura que se llevan a cabo las acciones o tratamientos recomendados, con
el propsito de lograr los objetivos y alcanzar conformidad con los
requerimientos (lmites internos y externos) establecidos.

Pgina 19
Integracin de otros conceptos
Gestin por procesos:
Acciones tendientes al cumplimiento de una meta u objetivo basada en el
buen funcionamiento de los procesos.
Se apoya en el uso de cadenas de valor como forma de analizar la actividad de
negocio, descomponiendo la empresa en sus partes, identificando generadores
de valor, fuentes de riesgo y aspectos de control y cumplimiento.
Gestin de asuntos y acciones (Issues & Actions)
Sistema de administracin y manejo de aspectos y requerimientos aplicables
que implican implementar acciones de correccin, mejora o cumplimiento; a
cargo de personal de la empresa con plazo determinado.
Surgen de observaciones de los entes de control (auditora interna, externa, entes de
supervisin, otras autoridades), no conformidades en los sistemas de gestin de
calidad, llamados de atencin de la administracin, gestin de riesgos, de otras
unidades de negocio o brechas a cubrir respecto de buenas prcticas de la industria, y
generan el establecer compromisos de solucin.


Pgina 20
Marcos de referencia para governance
OECD: Organizacin para la Cooperacin y Desarrollo Econmico.
Declaracin de Principios de 1999:2004
Declaraciones de principios de asociaciones y de actos legislativos
USA: American Law Institute (ALI), 1994; National Association of Corporate
Directors (NACD), 1996, 2001, 2005, 2011
UK: Cadbury, Greenbury, Hampel, Turnbull, Higgs reports
King III. 2009 South African report on corporate governance
SOX, Basilea II y III, HIPAA,
Modelos de Control Interno, leyes locales.
Para IT-Governance
Weill & Ross
ISACA / ITGI
AS/8015-2005
ISO/IEC-38500


Pgina 21
Marcos de Referencia para Admon. Riesgos
Control Interno y riesgo
COSO, Marco Integrado de Control Interno, 1992.
COSO, Enterprise Risk Management (ERM), 2004.
Comit de Basilea II y III sobre supervisin bancaria
Estndares
AS/NZS 4360 (1999, 2004) modelo de gestin de riesgos.
ISO 31000:2009: principios generales de la gestin de riesgos.
BSI 31100: 2011: Risk management Code of practice.
Para IT
Cobit, Risk IT
Magerit
Octave
ISO 27001

Pgina 22
Marcos de Referencia para cumplimiento
Federal Sentencing Guidelines for Organizations (FSGO).
Compendio Doctrinal (USSC) que hace reconocimiento en USA de la
"responsabilidad corporativa.
Segn la cual, las organizaciones son consideradas penalmente responsables
por las acciones de un empleado que viole la ley en el ejercicio de sus
funciones, siempre y cuando la motivacin beneficie en parte a la
organizacin
AS 3806:2006
Compliance programs.
Establece 12 principios para el desarrollo, implementacin y mantenimiento de
programas de cumplimiento; agrupados en 4 aspectos claves: Compromiso,
Implementacin, Seguimiento y Medicin, y mejora continua
ISO 9001, Sistemas de Gestin de la calidad.
En TI
Cobit (dominio Monitoreo y evaluacin)
ITIL
Pgina 23
OCEG Modelo Integrado de Capacidad

Gobierno Corporativo
Aseguramiento
Administracin Desempeo Riesgo Cumplimiento
Principled
Performance
Pgina 24
OCEG Modelo Integrado de Capacidad
Pgina 25
Estructura del GRC Capability Model
Pgina 26
Estructura del GRC Capability Model
Herramientas Disponibles
Pgina 28
El mercado del GRC
Existen diversas iniciativas del mercado, dirigidas a e-GRC
Muchas se apoyan en el GRC Capability Model de la OCEG.
Fuentes de Informacin los cuadrantes mgicos de:
Forrester
Gartner
Chartis Research
Algunos de los productos disponibles:
Bwise/Nasdaq, OpenPages (IBM), ThompsonReuters, Protiviti, GRC
Oracle, Compliance 360, MetricStream, SAI Global Compliance,
Archer (EMC-RSA), Enablon, CMO Compliance, GRC CA, GRC SAP,
Software AG, SAS, Mega, Cura Technologies. Active Risk, BPS
Resolver, Align Alytics, Methodware (Jade), LogicManager, Archiever
(Sword Group), Arc logics, Wolters Kluwer FS, Wynyard, Detica
NetReveal, NICE Actimize, Palantir, YarcData, Chase Cooper.


Pgina 29
Forrester
Wave.
Pgina 30
Gartner:
Pgina 31
Chartis
research
Pgina 32
Que compone una solucin GRC
Administracin organizacional
Gestor de estructura organizacional y jerarquas
las reas, sus relaciones e interdependencias
Administracin de procesos
Caracterizacin de los procesos
Definicin de roles, responsabilidades y dueos de procesos
Administracin de riesgos
Caracterizacin de Riesgos y Controles por proceso
Manejo de bibliotecas de riesgos Operacionales , financieros, AML.
Modelos de valoracin y medicin
Administracin de flujos de trabajo
Alertas, autorizaciones, liberaciones

Pgina 33
Que compone una solucin GRC
Seguimiento de Issues & Actions
Seguimiento del ciclo creacin, gestin, delegacin, cierre y aprobacin
Con notificaciones automticas a diferentes niveles organizacionales
Administracin de auditoras y evaluaciones
Procesos, objetivos, riesgos y controles
Pruebas de auditora, hallazgos , compromisos y seguimiento.
Gestor de polticas
Registro centralizado de polticas y requerimientos
Mapas de requerimientos, normas, guas por procesos y funciones
Gestin de Eventos / Incidentes / interrupcin del servicio
Registro y reporte
Gestin de procesos de investigacin
Pgina 34
Que compone una solucin GRC
Tableros de control
Indicadores y cuadros de mando
Informacin grfica
reportes multidimensionales
Gestor documental
Administrador de documentos soporte de estas actividades
Integra soluciones de e-documents

Implementando GRC
Pgina 36
Factores Crticos de xito
A Nivel Organizacional
Apoyo de la alta gerencia
Definicin adecuada del alcance del proyecto
Conformacin del equipo del proyecto
Dedicacin del personal y los consultores
Conocimiento de GRC
A nivel operativo
Conocer los sistemas corporativos existentes
Eleccin de la adecuada versin del software
Adecuada configuracin del Software
Fortalecer los mecanismos de comunicacin
Adecuado plan de entrenamiento
Definicin clara de Procesos / Objetivos / Riesgos / Controles




Pgina 37
Componentes del programa GRC
Compromiso Organizacional
Apoyo de la alta gerencia
Formular poltica de cumplimiento alineada a polticas de
negocio
Asignacin de recursos (desarrollar, implementar y mantener)
Identificar las obligaciones de cumplimiento (Inventario)
Implementando cumplimiento
Asignacin de roles y responsabilidades de este programa
Identificar las necesidades de entrenamiento y capacitacin
Gestin del cambio hacia una cultura de cumplimiento
Controlar la identificacin de los requerimientos de
cumplimiento

Pgina 38
Componentes del programa GRC
Seguimiento y medicin
Hacer seguimiento al proyecto, medir su desempeo y reportar a
instancias superiores el desarrollo
Mantener registro y trazabilidad de las acciones, demostrando
cumplimiento de tcnicas de gerencia de proyectos
Evaluacin y Mejora
Asegurar que el modelo implementado sea revisado ajustado y
mejorado.

Pgina 39
Los invitados
Debe involucrarse profesionales de las reas de:
Gerencia de procesos
Gerencia de riesgos
Auditora Interna
Oficiales de cumplimiento
Representantes de las reas de negocio con
requerimientos de cumplimiento.
Representantes de Sistemas de Gestin de Calidad

Pgina 40
Aspectos a tener en cuenta
Si decide seleccionar una herramienta de software:
GRC se est extendiendo a las aplicaciones y procesos de
negocio, considere un plataforma que logre esta interaccin o
integracin.
GRC requerir una amplia Integracin de contenidos (datos y
documentos)
Involucrar y comprometer a los empleados proporcionndoles
una interfaz amigable en el GRC, sin sentirse intimidado y
perdido.
No olvide la capacitacin y sensibilizacin de los empleados
como usuarios finales en el tema GRC.
Considere la posibilidad de uso de tecnologas mviles
Pgina 41
GRC y el proceso de auditora
Procesos
Empresa /Funcin
Objetivos de Control
Riesgos
Controles
Procedimientos
de auditora
Hallazgos
Acciones /
Compromisos
Pgina 42
GRC y los auditores
Aumenta la eficiencia y la productividad
Estandarizacin y automatizacin del proceso de auditora
Planeacin general, evaluacin global de riesgos, agendamiento de
auditoras, planeacin detallada, descripcin de procedimientos de
auditoras, revisin y supervisin y generacin de informes.
Integracin y coordinacin del trabajo con otras reas
Gestin de riesgos y procesos
Oficiales de cumplimiento
Gestin efectiva del Seguimiento
Asuntos y Compromisos (Issues & actions)
Flujos de trabajo
Oportunidad en el seguimiento

Pgina 43
Conclusin
GRC
Responde a la convergencia de conceptos y
tendencias en la gestin empresarial, integrando
modelos y prcticas conocidas con anterioridad
y facilitando la labor de los gestores.
La implementacin de GRC difiere de la
implementacin individual del G, R y C.
Pgina 44
Preguntas ?
Pgina 45
Bibliografa
Broady, D. & Roland, H. (2008). SAP GRC for dummies. Hoboken, NJ-USA.
Committee of Organizations Sponsoring Of (COSO) the Treadway Commission . (1992).Internal Control -
Integrated Framework. USA.
Committee of Organizations Sponsoring Of (COSO) the Treadway Commission. (2004).Enterprise Risk
Management Integrated Framework. USA.
Simons, Craig. Forrester (2005) Best Practices, IT Governance Framework, March 2005
Gauteng Business News. (2010). Governance, risk, compliance: a brief history of grc, [en lnea], Disponible en:
http://www.gbn.co.za/articles/dailynews/1084.html
ISACA & IT Governance Institute. (2008)Cobit 4.1. USA.
IT Governance Institute. (2000) Board Briefing on IT Governance 2nd Edition. USA.
ISO/IEC (2008) 38500 Corporate governance of information and communication technology.
Moir, Steve. (2009)IT Governance framework toolkit. IT Governance Ltd., England.
Open Compliance & Ethics Group (OCEG). (2012). OCEG Red Book GRC Capability Model, Versin 2.1.
Organizacin Econmica para la Cooperacin de Desarrollo (OECD).(1998) Declaracin de Principios de 1998
Rasmussen, Michael. (2013). GRC 3.0 A History of GRC, [en lnea], Disponible en:
http://grc2020.com/blog/grc-3-0-a-history-of-grc/
Standards Australia Limited.(2005) AS 8015 Corporate governance of information and communication
technology, Australia.
Weill, Peter y Ross, Jeanne. (2004) IT Governance: How top performers manage IT decision rights for superior
results. Harvard Business School Press.

Pgina 46




Fernando Izquierdo Duarte
Email: aizquidu@gmail.com
Contacto