1 de octubre del 2013 Conferencista - Biografa Alirio Fernando Izquierdo Duarte, CISA Graduado como Ingeniero de Sistemas (1989), con estudio de especializacin en Auditora de Sistemas (1999), Certificado como Auditor de Sistemas de InformacinCISA (1999), y Magster en Economa (2009). Profesor universitario por ms de 10 aos, conferencista internacional en temas de auditora, seguridad y control en sistemas de informacin, estndares de auditora de sistemas, administracin de riesgos y gerencia de proyectos de TI. Se ha desempeado en el rea de Auditora de Sistemas durante los ltimos 25 aos en empresas de los sectores Industrial, Financiero, Comercial y Estatal. Desde 1995 presta sus servicios como Ingeniero Experto para el Departamento de Control Interno del Banco de la Repblica de Colombia (Banco Central). En Isaca, fue presidente del captulo 126-Bogot-Colombia, y actualmente presta su servicio para el Government Agency Board en el Sub Comit para Latinoamrica. Pgina 3 Aunque no todo el mundo sabe lo que significa la GRC, los conceptos involucrados son los que todo el mundo entiende.
Broady, Denise Vu &. Roland, Holly [2008]
Pgina 4 Objetivos Presentar las mejores prcticas y tendencias de la industria que ayuden a construir, crecer y mejorar en el buen gobierno, administracin del riesgo y cumplimiento (GRC) a las empresas. Compartir experiencias en GRC, conocer algo de lo hay en el mercado y brindar un enfoque estructurado para enfrentar los temas de cumplimiento, administracin de riesgo y gobernabilidad, con nfasis en TI. Presentar los conceptos relativos a Gobierno, Riesgo y cumplimiento.
Pgina 5 Objetivos Presentar modelos de referencia para emprender un programa GRC en su organizacin y las implicaciones de la integracin de tareas de Administracin de Riesgos, Administracin de procesos, Gobierno empresarial y las agendas de cumplimiento. Compartir elementos prcticos para participar y auditar un proyecto GRC.
Pgina 6 Agenda para hoy 1. Origen del Concepto GRC 2. Marcos de referencia 3. Lo que dice el mercado 4. Proyecto de implementacin GRC 5. Uso del GRC por parte del auditor Pgina 7 Contextualizando. Para algunos es moda Un concepto nuevo en las tendencias de administracin Otro acrnimo ms .. visto como un dolor de cabeza organizacional? Enterprise Risk Management (ERM) Control Self Assesment (CSA) Enterprise Resource Planning (ERP) Customer Relationship Management (CRM) Supply Chain Management (SCM) Product Lifecycle Management (PLM) Balance Score Card (BSC) Corporate Social Responsibility (CSR), Pgina 8 Qu caus que surgiera GRC? Los escndalos de los 90s en grandes empresas, revelaron el fracaso de los controles externos para contrarrestar malos comportamientos empresariales. Ataques terroristas que provocaron el endurecimiento de os controles en el comercio y la economa en general. La creciente escasez combustibles, preocupaciones sobre el calentamiento global y el impacto ambiental, que demandan ser eficientes en el consumo energtico, reduccin de la contaminacin y tratamiento adecuado de los deshechos as como el deseo de las empresas de demostrar viabilidad a largo plazo. Problemas de inestabilidades polticas y de crisis econmicas han forzado un cambio en la forma de cmo el mundo corporativo enfrenta los temas de cumplimiento.
Pgina 9 Qu caus que surgiera GRC? GRC Globalizacin Complejidad de Legislacin ms all de las fronteras Poltico Y Econmico Inestabilidades de gobiernos y crisis econmicas Mercado Presiones y competencia vs eficiencia operacional Stakeholdes Mayores exigibilidades de inversionistas, pblico y gobierno tica Demostrar que empleados y accionistas se adhieren y cumplen las reglas Tecnologa Surgen SW que integran Riesgo, Control, gobierno, polticas cumplimiento Entes de Control Incremento en Regulacin, Hallazgos y acciones Escndalos Financieros Comportamientos empresariales errneos Pgina 10 GRC - algo de historia [1] Ha existido durante muchos tiempo; Inicia junto al concepto de empresa, como los conocemos hoy. Responde a las preocupaciones de la separacin entre propiedad y administracin (problema del agente-principal) Refleja la cambiante relacin entre empresas, sociedad y gobierno.
[1] Las empresas empiezan a prestar ms atencin a su conducta, en todos los niveles, con el fin de evitar sanciones (concepto de regulacin) EJ: la FDA en USA -1906, modelo pblico de cumplimiento. 1 dcada de Siglo XXI surge como una clase de software. Integrador para automatizar controles, apoyar el cumplimiento de regulacin y supervisin, control interno, auditoras, riesgos y gestin de procesos. Michael Rasmussen en 2002 es el primero en definir, modelar y etiquetar GRC, cuando trabajaba para Forrester Research.
[2] [1] Adaptado de: Gauteng Business News. (2010) [2] Rasmussen, Michael. (2013). GRC 3.0 A History of GRC Pgina 11 GRC- algo de historia (Cont) Cambio de paradigma empresarial Forzado" a cumplir (leyes), por la adopcin voluntaria de una visin de: autoregulacin y autocontrol, en el desarrollo del negocio. El cumplimiento se integra al concepto en los aos 1980 y 1990, con el auge de las economas de mercado Fin de primera dcada de 2000 incorpora el tema de tica. ..cumplimiento no equivale necesariamente a conducta tica Gobierno, Riesgo y Cumplimiento (GRC): concepto que se ha convertido en tema clave de negocio en el mundo.
Pgina 12 Gobierno Corporativo Cumplimiento Administracin de Riesgos GRC, Convergencia de conceptos Pgina 13 GRC, Convergencia de conceptos Estos tres aspectos se estn alineando cada vez ms y convergen a su integracin El objetivo: mejorar el desempeo de las empresas y el logro de las expectativas de las partes interesadas. La aplicacin de los conceptos GRC requiere enfoques que se basan en facilitadores de diversos tipos: Principios, Polticas, Modelos, Marcos de referencia, Estructuras organizacionales. Pgina 14 Definicin de GRC Es la capacidad de lograr objetivos de manera fiable [Gobierno] al mismo tiempo que se maneja y enfrenta la incertidumbre [riesgo] y se acta con integridad respetando las obligaciones regulatorias y los compromisos voluntarios [cumplimiento] [3]
[3] Definicin de GRC de la OCEG Open Compliance & Ethics Group. (2012).OCEG Red Book GRC Capability Model, Versin 2.1. Tomada de http://www.gaia-tech.com/wp-content/uploads/2010/12/gaia-man-gears.jpg Marcos de referencia Pgina 16 Gobierno Corporativo Involucra una serie de relaciones entre la gerencia de una compaa, su Directorio, sus accionistas y otras partes interesadas. Provee la estructura a travs de la cual se logran los objetivos de la compaa y se determinan los medios para lograr dichos objetivos y hacer seguimiento a su desempeo
[4] Sistema por el cual las sociedades pblicas y privadas son dirigidas y controladas. La estructura del gobierno corporativo especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores de la empresa. [4] OECD: Organizacin para la Cooperacin y Desarrollo Econmico. Declaracin de Principios de 1998:2004. Pgina 17 Administracin de Riesgos Proceso por el cual el Directorio, la administracin y el personal de una empresa u organizacin maneja los riesgos, aplicado diferentes estrategias para identificar, evaluar, medir y dar tratamiento a los riesgos para reportar y proporcionar seguridad e integridad razonables respecto del logro de objetivos. Este proceso le permite a la empresa Administrar los riesgos que amenazan su existencia, sus activos, utilidades, al personal o los servicios que presta. Tomar los riesgos adecuados, de acuerdo al nivel de riesgo al cual estn dispuestos a exponerse. Conocer y comprender los riesgos, identificando los recursos y esfuerzos necesarios para alcanzar los resultados deseados, Proveer los medios para la temprana deteccin y correccin de decisiones erradas o inadecuadas.
Pgina 18 Complimiento (Compliance) Sistemas y procesos por los cuales una empresa asegura que sus empleados y accionistas se adhieren y actan de conformidad a las reglas del negocio y requisitos legales. Se brinda seguridad razonable del cumplimiento de aspectos regulatorios, directrices, normas, estndares, reglamentos, derechos u obligaciones contractuales Se asegura que se llevan a cabo las acciones o tratamientos recomendados, con el propsito de lograr los objetivos y alcanzar conformidad con los requerimientos (lmites internos y externos) establecidos.
Pgina 19 Integracin de otros conceptos Gestin por procesos: Acciones tendientes al cumplimiento de una meta u objetivo basada en el buen funcionamiento de los procesos. Se apoya en el uso de cadenas de valor como forma de analizar la actividad de negocio, descomponiendo la empresa en sus partes, identificando generadores de valor, fuentes de riesgo y aspectos de control y cumplimiento. Gestin de asuntos y acciones (Issues & Actions) Sistema de administracin y manejo de aspectos y requerimientos aplicables que implican implementar acciones de correccin, mejora o cumplimiento; a cargo de personal de la empresa con plazo determinado. Surgen de observaciones de los entes de control (auditora interna, externa, entes de supervisin, otras autoridades), no conformidades en los sistemas de gestin de calidad, llamados de atencin de la administracin, gestin de riesgos, de otras unidades de negocio o brechas a cubrir respecto de buenas prcticas de la industria, y generan el establecer compromisos de solucin.
Pgina 20 Marcos de referencia para governance OECD: Organizacin para la Cooperacin y Desarrollo Econmico. Declaracin de Principios de 1999:2004 Declaraciones de principios de asociaciones y de actos legislativos USA: American Law Institute (ALI), 1994; National Association of Corporate Directors (NACD), 1996, 2001, 2005, 2011 UK: Cadbury, Greenbury, Hampel, Turnbull, Higgs reports King III. 2009 South African report on corporate governance SOX, Basilea II y III, HIPAA, Modelos de Control Interno, leyes locales. Para IT-Governance Weill & Ross ISACA / ITGI AS/8015-2005 ISO/IEC-38500
Pgina 21 Marcos de Referencia para Admon. Riesgos Control Interno y riesgo COSO, Marco Integrado de Control Interno, 1992. COSO, Enterprise Risk Management (ERM), 2004. Comit de Basilea II y III sobre supervisin bancaria Estndares AS/NZS 4360 (1999, 2004) modelo de gestin de riesgos. ISO 31000:2009: principios generales de la gestin de riesgos. BSI 31100: 2011: Risk management Code of practice. Para IT Cobit, Risk IT Magerit Octave ISO 27001
Pgina 22 Marcos de Referencia para cumplimiento Federal Sentencing Guidelines for Organizations (FSGO). Compendio Doctrinal (USSC) que hace reconocimiento en USA de la "responsabilidad corporativa. Segn la cual, las organizaciones son consideradas penalmente responsables por las acciones de un empleado que viole la ley en el ejercicio de sus funciones, siempre y cuando la motivacin beneficie en parte a la organizacin AS 3806:2006 Compliance programs. Establece 12 principios para el desarrollo, implementacin y mantenimiento de programas de cumplimiento; agrupados en 4 aspectos claves: Compromiso, Implementacin, Seguimiento y Medicin, y mejora continua ISO 9001, Sistemas de Gestin de la calidad. En TI Cobit (dominio Monitoreo y evaluacin) ITIL Pgina 23 OCEG Modelo Integrado de Capacidad
Gobierno Corporativo Aseguramiento Administracin Desempeo Riesgo Cumplimiento Principled Performance Pgina 24 OCEG Modelo Integrado de Capacidad Pgina 25 Estructura del GRC Capability Model Pgina 26 Estructura del GRC Capability Model Herramientas Disponibles Pgina 28 El mercado del GRC Existen diversas iniciativas del mercado, dirigidas a e-GRC Muchas se apoyan en el GRC Capability Model de la OCEG. Fuentes de Informacin los cuadrantes mgicos de: Forrester Gartner Chartis Research Algunos de los productos disponibles: Bwise/Nasdaq, OpenPages (IBM), ThompsonReuters, Protiviti, GRC Oracle, Compliance 360, MetricStream, SAI Global Compliance, Archer (EMC-RSA), Enablon, CMO Compliance, GRC CA, GRC SAP, Software AG, SAS, Mega, Cura Technologies. Active Risk, BPS Resolver, Align Alytics, Methodware (Jade), LogicManager, Archiever (Sword Group), Arc logics, Wolters Kluwer FS, Wynyard, Detica NetReveal, NICE Actimize, Palantir, YarcData, Chase Cooper.
Pgina 29 Forrester Wave. Pgina 30 Gartner: Pgina 31 Chartis research Pgina 32 Que compone una solucin GRC Administracin organizacional Gestor de estructura organizacional y jerarquas las reas, sus relaciones e interdependencias Administracin de procesos Caracterizacin de los procesos Definicin de roles, responsabilidades y dueos de procesos Administracin de riesgos Caracterizacin de Riesgos y Controles por proceso Manejo de bibliotecas de riesgos Operacionales , financieros, AML. Modelos de valoracin y medicin Administracin de flujos de trabajo Alertas, autorizaciones, liberaciones
Pgina 33 Que compone una solucin GRC Seguimiento de Issues & Actions Seguimiento del ciclo creacin, gestin, delegacin, cierre y aprobacin Con notificaciones automticas a diferentes niveles organizacionales Administracin de auditoras y evaluaciones Procesos, objetivos, riesgos y controles Pruebas de auditora, hallazgos , compromisos y seguimiento. Gestor de polticas Registro centralizado de polticas y requerimientos Mapas de requerimientos, normas, guas por procesos y funciones Gestin de Eventos / Incidentes / interrupcin del servicio Registro y reporte Gestin de procesos de investigacin Pgina 34 Que compone una solucin GRC Tableros de control Indicadores y cuadros de mando Informacin grfica reportes multidimensionales Gestor documental Administrador de documentos soporte de estas actividades Integra soluciones de e-documents
Implementando GRC Pgina 36 Factores Crticos de xito A Nivel Organizacional Apoyo de la alta gerencia Definicin adecuada del alcance del proyecto Conformacin del equipo del proyecto Dedicacin del personal y los consultores Conocimiento de GRC A nivel operativo Conocer los sistemas corporativos existentes Eleccin de la adecuada versin del software Adecuada configuracin del Software Fortalecer los mecanismos de comunicacin Adecuado plan de entrenamiento Definicin clara de Procesos / Objetivos / Riesgos / Controles
Pgina 37 Componentes del programa GRC Compromiso Organizacional Apoyo de la alta gerencia Formular poltica de cumplimiento alineada a polticas de negocio Asignacin de recursos (desarrollar, implementar y mantener) Identificar las obligaciones de cumplimiento (Inventario) Implementando cumplimiento Asignacin de roles y responsabilidades de este programa Identificar las necesidades de entrenamiento y capacitacin Gestin del cambio hacia una cultura de cumplimiento Controlar la identificacin de los requerimientos de cumplimiento
Pgina 38 Componentes del programa GRC Seguimiento y medicin Hacer seguimiento al proyecto, medir su desempeo y reportar a instancias superiores el desarrollo Mantener registro y trazabilidad de las acciones, demostrando cumplimiento de tcnicas de gerencia de proyectos Evaluacin y Mejora Asegurar que el modelo implementado sea revisado ajustado y mejorado.
Pgina 39 Los invitados Debe involucrarse profesionales de las reas de: Gerencia de procesos Gerencia de riesgos Auditora Interna Oficiales de cumplimiento Representantes de las reas de negocio con requerimientos de cumplimiento. Representantes de Sistemas de Gestin de Calidad
Pgina 40 Aspectos a tener en cuenta Si decide seleccionar una herramienta de software: GRC se est extendiendo a las aplicaciones y procesos de negocio, considere un plataforma que logre esta interaccin o integracin. GRC requerir una amplia Integracin de contenidos (datos y documentos) Involucrar y comprometer a los empleados proporcionndoles una interfaz amigable en el GRC, sin sentirse intimidado y perdido. No olvide la capacitacin y sensibilizacin de los empleados como usuarios finales en el tema GRC. Considere la posibilidad de uso de tecnologas mviles Pgina 41 GRC y el proceso de auditora Procesos Empresa /Funcin Objetivos de Control Riesgos Controles Procedimientos de auditora Hallazgos Acciones / Compromisos Pgina 42 GRC y los auditores Aumenta la eficiencia y la productividad Estandarizacin y automatizacin del proceso de auditora Planeacin general, evaluacin global de riesgos, agendamiento de auditoras, planeacin detallada, descripcin de procedimientos de auditoras, revisin y supervisin y generacin de informes. Integracin y coordinacin del trabajo con otras reas Gestin de riesgos y procesos Oficiales de cumplimiento Gestin efectiva del Seguimiento Asuntos y Compromisos (Issues & actions) Flujos de trabajo Oportunidad en el seguimiento
Pgina 43 Conclusin GRC Responde a la convergencia de conceptos y tendencias en la gestin empresarial, integrando modelos y prcticas conocidas con anterioridad y facilitando la labor de los gestores. La implementacin de GRC difiere de la implementacin individual del G, R y C. Pgina 44 Preguntas ? Pgina 45 Bibliografa Broady, D. & Roland, H. (2008). SAP GRC for dummies. Hoboken, NJ-USA. Committee of Organizations Sponsoring Of (COSO) the Treadway Commission . (1992).Internal Control - Integrated Framework. USA. Committee of Organizations Sponsoring Of (COSO) the Treadway Commission. (2004).Enterprise Risk Management Integrated Framework. USA. Simons, Craig. Forrester (2005) Best Practices, IT Governance Framework, March 2005 Gauteng Business News. (2010). Governance, risk, compliance: a brief history of grc, [en lnea], Disponible en: http://www.gbn.co.za/articles/dailynews/1084.html ISACA & IT Governance Institute. (2008)Cobit 4.1. USA. IT Governance Institute. (2000) Board Briefing on IT Governance 2nd Edition. USA. ISO/IEC (2008) 38500 Corporate governance of information and communication technology. Moir, Steve. (2009)IT Governance framework toolkit. IT Governance Ltd., England. Open Compliance & Ethics Group (OCEG). (2012). OCEG Red Book GRC Capability Model, Versin 2.1. Organizacin Econmica para la Cooperacin de Desarrollo (OECD).(1998) Declaracin de Principios de 1998 Rasmussen, Michael. (2013). GRC 3.0 A History of GRC, [en lnea], Disponible en: http://grc2020.com/blog/grc-3-0-a-history-of-grc/ Standards Australia Limited.(2005) AS 8015 Corporate governance of information and communication technology, Australia. Weill, Peter y Ross, Jeanne. (2004) IT Governance: How top performers manage IT decision rights for superior results. Harvard Business School Press.
Pgina 46
Fernando Izquierdo Duarte Email: aizquidu@gmail.com Contacto