¿GRC (Gobierno, Riesgo y Cumplimiento) para todos en la organización? ¡Sí se puede! Presentado por: LCP Gabriela Reynaga CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F 23 de abril 2015 CONTENIDO • • GRC Introducción • Cómo crea valor GRC • Principled Performance • Modelo de capacidad de GRC Implementación de GRC en la organización • Proceso de implementación • Beneficios • Retos • Contacto GRC Gobierno Riesgo Cumplimiento Capacidad que habilita una organización para el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad. © OCEG. All rights reserved. ¿CÓMO CREA VALOR GRC? INCERTIDUMBRE MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento. © OCEG. All rights reserved. OPORTUNIDADES MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OPORTUNIDADES OPORTUNIDADES OBSTACULOS ¿CÓMO CREA VALOR GRC? OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento. © OCEG. All rights reserved. OPORTUNIDADES MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OPORTUNIDADES OPORTUNIDADES OBSTACULOS ¿CÓMO CREA VALOR GRC? OBJETIVOS Estratégico, operacionales, de clientes, de procesos y de cumplimiento. © OCEG. All rights reserved. ¿CÓMO CREA VALOR GRC? LIMITE OBLIGATORIO Límite establecido por las fuerzas externas incluyendo las leyes, regulaciones gubernamentales y otras normas. OPORTUNIDADES MODELO DE NEGOCIO Estrategia, personas, procesos, tecnología e infraestructura disponible para el logro de los objetivos. OBJETIVOS OPORTUNIDADES OPORTUNIDADES Estratégico, operacionales, de clientes, de procesos y de cumplimiento. LÍMITE VOLUNTARIO Limite definido por la Administración, incluido los valores organizacionales, las obligaciones contractuales, las políticas voluntarias y otras reglas. © OCEG. All rights reserved. PRINCIPLED PERFORMANCE NACD, OECD, King 3 Domain-Specific Governance (COBIT 5, etc.) Gestión de Gobierno COSO ERM ISO 31000 / BSI 31100 UK Orange Book IRM / ALARM Domain-Specific (BASEL) Gestión del Riesgo Gestión del Desempeño COBIT 5 Balanced Scorecard Strategic Planning Business Intelligence Decision Science Quality Management Principled Performance US FSG AS 3806 Quality Management Domain-Specific Gestión Control Interno Gestión del Cumplimiento COSO CoCo Turnbull COBIT 5 Gestión de la Cultura & Etica Social Psychology Behavioral Economics Learning Theory © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC COMPONENTES INTEGRADOS CONTEXTO ORGANIZAR MEDIR EVALUAR INTERACTUAR RESPONDER PRO-ACTUAR DETECTAR © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC RESULTADOS UNIVERSALES CONTEXTO Lograr los objetivos del negocio ORGANIZAR Mejorar la cultura organizacional MEDIR EVALUAR INTERACTUAR RESPONDER PRO-ACTUAR Aumentar la confianza de partes interesadas Preparar y Proteger la Organización Prevenir, Detectar y Reducir la adversidad DETECTAR Motivar e Inspirar las conductas deseadas Mejorar la capacidad de respuesta y eficiencia Optimizar el valor económico y social © OCEG. All rights reserved. Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. Modelo de capacidad de GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR EVALUAR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento A1 – Identificación A2 – Análisis A3 – Planeación RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución EVALUAR O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación A1 – Identificación A2 – Análisis A3 – Planeación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. MODELO DE CAPACIDAD DE GRC: ELEMENTOS INTERACTUAR CONTEXTO ORGANIZAR I1 – Gestión de Información I2 – Comunicación I3 – Tecnología C1 – Contexto Externo C2 – Contexto Interno C3 – Cultura C4 – Objetivos O1 – Compromisos O2 – Roles O3 – Responsabilidad MEDIR EVALUAR M1 – Monitoreo de Contexto M2 – Monitoreo de Desempeño M3 – Mejoramiento Sistémico M4 – Aseguramiento A1 – Identificación A2 – Análisis A3 – Planeación RESPONDER R1 –Controles y Acciones de Respuesta R2 – Investigación Interna R3 – Investigación de terceros R4 – Respuesta a las crisis R5 – Remediación R6 – Retribución O M R I E P D DETECTAR D1 – Controles y Acciones Detectivos D2 – Notificación D3 – Indagación PROACTUAR P1 – Controles y Acciones Proactivas P2 – Códigos de Conducta P3 – Políticas P4 – Educación P5 – Incentivos P6 – Relaciones con Terceros P7 – Financiamiento de Riesgos © OCEG. All rights reserved. SITUACIÓN ACTUAL (ORGANIZACIONES SIN GRC) • Gestionada en SILOS • Reactiva • Métodos por programas o proyectos. • Separado de los procesos del core y de la toma de decisiones. • Mal necesario • Uso fragmentado de la Tecnología SITUACIÓN DESEADA (ORGANIZACIONES CON GRC) SUPERVISIÓN EFECTIVA ESTADO DESEADO ETICA REPORTES Y ANALISIS INTEGRADOS • Enfoque de la Empresa INTEGRIDAD • Proactivo • Método Sistémico ESTRATEGIA DE GRC INTEGRADA OPERACIONES AUDITORIA FINANZAS RIESGOS LEGAL, RH, TI, OTROS CUMPLIMIENTO ACTIVIDADES INTEGRADAS DE RIESGO Y CONTROL • Incorporado dentro de los proceso del core y la toma de decisiones. • Valor Agregado INFORMACIÓN DE CALIDAD INTEGRADA INFORMACIÓN DE CALIDAD INTEGRADA • Soluciones con arquitectura empresarial. INTEGRACIÓN Y ORQUESTACIÓN DE LAS ÁREAS Consejo NACD, OECD, King 3 Directivo Domain-Specific Governance (COBIT 5, etc.) Finanzas Comités Finanzas Gobierno Tesorería Estrategia Gestión del Riesgo Cumplimiento Normas Legal Gestión del Desempeño Recursos Humanos Principled Performance Gestión del Cumplimient o Operaciones Gestión del Control & Auditoría Contractos Gestión de la Ëtica y Cultura Calidad Operaciones Todos Reportes Financieros IMPLEMENTACIÓN DE GRC • ¿Por dónde empezar? • ¿Está preparada la organización para llevar a cabo una implementación de la estrategia de GRC? • Requerimientos mínimos PROCESO DE IMPLEMENTACIÓN DE LA ESTRATEGIA DE GRC Sensibilización Mantenimiento y mejora continua Implementación Planeación Diseño de solución PROCESO DE IMPLEMENTACION DE LA ESTRATEGIA DE GRC Plan estratégico de GRC • Misión / Visión • Resultados e hitos de madurez (con una correlación con los objetivos de negocio) de casos de negocios • Estrategia de medición (métricas, indicadores, métodos de cálculo, frecuencia de medición, la naturaleza y la frecuencia de presentación de informes) • Organigrama • Capital humano / plan de relaciones con los proveedores (para la implementación y las operaciones en curso) • Plan financiero (puesta en marcha y operaciones) • Plan de Tecnología • Plan de aseguramiento • Plan de implementación BENEFICIOS (SÓLO ALGUNOS) • Mejora de eficiencia operativa de la organización –Alineación estratégica. –Reducción de costos de operación • Mejora de percepción de la gestión –Confiabilidad –Transparencia. –Disminución de fugas de información • Blindaje: Reducción de riesgos de gestión –Marco operativo formal –Monitoreo continuo con tableros de control dinámicos • Sistema de Gestión de Cumplimiento –Aseguramiento –Atención de auditorías RETOS • La implementación de GRC no es implementar tecnología solamente. • Debe existir un deseo auténtico para llevar a cabo un cambio en todos los niveles de la organización. • Deben estar involucrados todos los niveles desde el inicio de la definición de la estrategia. • La tecnología apoya la estrategia de GRC siempre y cuando se tenga en mente que es un apoyo y no un todo para la implementación de la estrategia. Q&A CONTACTO LCP GABRIELA REYNAGA CRISC, GRCP, CONSEJERA INDEPENDIENTE CERTIFICADA, COBIT 5 F GLOBAL PRACTICE INTERNACIONAL greynaga@globalpractice.com.mx + 52 1 33 1247 9958