consideraciones en la selección de una solución...
TRANSCRIPT
EGRC Software Consideraciones en la selección de una solución GRC GRC - Gobierno, Riesgo y Cumplimiento Noviembre, 2015
2 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
CONTENIDO
I. ¿Que es GRC?.
ü ¿Para que sirve?.
ü ¿Qué requiere? y ¿Cuáles son los beneficios?.
ü Metodología.
II. Objetivos generales de las herramientas GRC.
IV. Principales funcionalidades.
V. Consideraciones para la selección.
VI. Opciones.
VII. Plataforma GRC Protiviti.
VIII. Propuesta de valor PGP.
IX. PGP en LATAM.
3 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
I. ¿Qué es GRC?.
3
Gobierno, Administración de Riesgos y Cumplimiento (Governance, Risk Management, and Compliance o "GRC“) refleja una nueva manera de como las Organizaciones pueden adoptar un enfoque integral que relacione estas tres áreas; esta integración incluye muchas actividades dentro de una organización tales como: auditoria interna, programas de cumplimiento como SOX, administración del riesgo, riesgo operativo, administración de incidentes, políticas y procedimientos, etc. GRC busca que en una organización se actúe de manera ética de acuerdo con sus riesgos, políticas internas y regulaciones externas, a través de la alineación de estrategias, procesos, tecnología y personas mejorando con ello la eficacia y eficiencia de sus operaciones.
4 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
I. ¿Qué es GRC? (cont.)
4
¿Qué es Gobierno? Proceso por el cual se definen e implementan las políticas de la Organización y la toma de decisión es ejecutada, basada en éstas. ¿Qué es Administración de riesgos? Es el proceso por el cual una organización define su tolerancia al riesgo, los identifica y los prioriza de acuerdo a su tolerancia y objetivos de negocio. La administración, mediante controles internos, se encarga de mitigarlos a través de toda la organización. ¿Qué es Cumplimiento? Es el proceso de adherencia o cumplimiento a las políticas de la Organización. Las políticas pueden ser derivadas de directivas, procedimientos y requerimientos internos o leyes, regulaciones, estándares y acuerdos externos.
5 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
I. ¿Qué es GRC? - ¿Para qué sirve?
5
• De manera inicial, el sistema GRC fue impulsado por SOX, como una necesidad / capacidad de poder administrar toda la información generada y requerida para poder cumplir con este marco regulatorio.
• Hoy en día las Organizaciones, se han dado cuenta que para cumplir sus objetivos de negocio y/o cumplir con las expectativas de sus inversionistas y/o cumplir las regulaciones de su sector o industria, se requiere integrar como parte de su administración, las actividades y funciones de gobierno corporativo, la administración de riesgos y las responsabilidades de cumplimiento, mejorando con esto su capacidad.
• Un sistema GRC es una herramienta integradora (end-to-end), que permite que las funciones asociadas al Gobierno Corporativo, Administración de Riesgos y Cumplimiento Regulatorio se “hablen”, se “sincronicen” y se “estandaricen” con el objetivo último de aumentar el rendimiento de la organización y que esté protegida interna y externamente.
6 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
I. ¿Qué es GRC?
6
Características de un programa integral de GRC
0% 20% 40% 60% 80% 100%
Adoptar un lenguaje común Comunicación entre los
diferentes equipos de trabajo relacionados
Supervisión centralizada de riesgos y cumplimiento Utilización de una sola
plataforma GRC Estandarización y
consolidación de las métricas de riesgos
Barreras para implementar exitósamente GRC
0% 20% 40% 60% 80% 100%
Alto costos y tiempos largos de implementación
Falta de una sola visión y un
lenguaje común de riesgos
Gestión del cambio para apoyar la implementación
Falta de solución tecnológica
Alineado con la estrategia del
negocio
Dominios aislados de GRC
Práctica integrada de
riesgos y cumplimiento
• Alineación estrategias, sistemas de información
• KPI/KRIs • Tableros de control de empresa
• Soporte de múltiples componentes de GRC
• Vista central de Riesgos
• Reporte consolidado
• Puntos de vista centralizados de políticas
• Cumplimiento automatizado
Madurez de la correlación programa de GRC
Requerimientos clave - plataforma de GRC
Investigación de ISACA • 17% + ingreso • 14% + utilidad • 96% - pérdidas
financieras • 50% - gasto en el
programa anual de cumplimiento
Investigación de Aberdeen Group
• 20% + en la habilidad para priorizar inversiones
• 16% + al optimizar procesos actuales
• Ventaja competitiva • Resultados optimizados • Proteger la inversión de
terceros
• Cumplimiento regulatorio de informes y reportes públicos
• Ventaja competitiva de gestión del cumplimiento
• Reducción de pérdidas operativas e incidentes
• Disminuir el costo total del cumplimiento
Objetivo del programa GRC Valor
Optimización de costos
Cumplimiento demostrable
Asignación efectiva de activos / recursos
¿QUE REQUIERE? ¿CUALES SON SUS BENEFICIOS?
7 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
II. Objetivos generales de las herramientas GRC
7
• Algunos de los objetivos de una plataforma de GRC: – El negocio (entiéndase los dueños de los procesos) pueda hacerse responsable
de administrar sus riesgos y controles. – Las áreas normativas y de cumplimiento (AI, Control Interno, Riesgos,
Cumplimiento, etc.), se dediquen a estar cuidando lo que realmente es importante para el negocio.
– Los procesos de cumplimiento y entrega de información regulatoria se vuelvan más eficientes y efectivos.
– Las principales áreas usuarias de este tipo de herramientas son: • Auditoria Interna • Los diferentes comités de Gobierno Corporativo. • Riesgo y cumplimiento. • Control interno. • Normatividad, Políticas y Procedimientos. • Usuarios de las áreas de negocio, responsables de la administración de los
riesgos. • Altos Ejecutivos.
8 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
III. Principales funcionalidades
8
• Las principales funciones que soporta una plataforma GRC son: – Administración de riesgos:
• Identificación de riesgos y su calificación, basados en los modelos de riesgos definidos por la organización.
• Definición de controles y sus pruebas; así como las actividades y planes de trabajo que permitan fortalecer el ambiente de control.
• Riesgo operativo. Administrar la materialización de los riesgos (pérdidas). – Administración del cumplimiento:
• Soportar diferentes marcos regulatorios, normas, leyes, etc.(COSO 2013, SOX, JSOX, EuroSOX, ISO9000, estándares de industria, regulaciones ambientales, etc.).
• Documentación, reportes, definición de objetivos de control, y administración de los riesgos y controles asociados.
• Concientización hacia toda la organización (políticas, código de ética, evaluaciones del conocimiento asociado al cumplimiento, etc.).
9 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
III. Principales funcionalidades (cont.)
9
– Administración de Políticas y Procedimientos: • Administración documental que permite mantener el ciclo de vida de las
políticas y procedimientos, desde su creación, revisión, cambios, publicación y archivo.
– Administración de Auditorias: • Planeación y programación de auditorias y actividades relacionadas. • Identificación, seguimiento y mitigación de hallazgos. • Administración y reportes de tiempo de actividades y personal. • Administración y estandarización de papeles de trabajo.
– Autoevaluación: • Capacidad de recolectar información, de manera rápida y oportuna, a
través de toda la organización, de temas como: – Autoevaluación de riesgos y controles. – Comunicación y entendimiento de políticas y procedimientos. – Evaluación de las funciones de: Auditoría Interna, Riesgos,
Cumplimiento, etc.
10 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
III. Principales funcionalidades (cont.)
10
– Seguimiento • Definición de flujos de trabajo, planes de acción, tareas, con responsables
y fechas compromiso de solución. • Alertas automatizadas. • Bitácoras de cambios.
– Explotación de la información: • Mapas de calor. • Tableros de control con indicadores de desempeño:
– Auditoría – Cumplimiento – Riesgos – Etc.
• Reportes de cumplimiento. • Informes de auditoría. • Etc.
11 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
IV. Consideraciones para la selección
11
• Actividades previas a la selección – Definir el estado futuro de la Compañía:
• ¿Gobierno Corporativo? • ¿Cumplimiento de regulaciones? • ¿Automatizar funciones maduras (AI, Administración de riesgos, Control
interno)? – Identificar a los principales promotores en la Alta Dirección. – Identificar los marcos regulatorios a cumplir:
• Situación interna actual con respecto a estos. • Costos de una potencial exposición por incumplimiento.
– Establecimiento de marco de trabajo de GRC: • Organización con funciones y actividades de administración de riesgos. • Definición del tipo de información requerida (interna y externa). • Establecimiento de un lenguaje común de riesgos.
12 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
IV. Consideraciones para la selección. Proceso de selección de la solución.
12
13 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
V. Opciones
13
14 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
VI. Plataforma GRC Protiviti
14
Portal de Gobierno de Protiviti. Plataforma integral de tecnología diseñada para apoyar de manera constante, sustentable y eficaz el gobierno corporativo, la administración de riesgos y los programas de cumplimiento, abarcando las diversas disposiciones regulatorias, que incluyen entre otros: la Ley del Mercado de Valores, Sarbanes-Oxley, Basilea III, etc. Los seis pilares necesarios para un gobierno corporativo,
son soportados por el portal, con los siguientes módulos: Administración de controles: Administración de procesos y conocimiento que soporta Sarbanes-Oxley (Secciones 404 y 302). Administración de riesgos: Evaluación de controles y riesgos, fuertemente integrado con el sistema de eventos de pérdida. Administración de eventos de pérdida: Recolección de eventos de pérdida reales, estimados e incidentes (potenciales pérdidas). Administración de autoevaluación: “Motor” de entrevistas y cuestionarios que permite autoevaluar múltiples actividades de gobierno y cumplimiento. Auditoría interna: Administración de papeles electrónicos de trabajo, apoya evaluaciones de riesgos, planeación, ejecución, hallazgos y reportes de auditorías.
15 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
VII. La propuesta de valor del PGP (Software GRC de Protiviti)
15
Generalidades: El portal de Gobierno de Protiviti integra el contenido y los más aceptados marcos de referencia basados en la experiencia en consultoría a nivel mundial integrados tecnológicamente, dando a las organizaciones la habilidad de gestionar el riesgo y temas de cumplimiento al día de hoy y en el futuro. Los clientes escogen nuestro portal porque les permite alcanzar sus objetivos corporativos reduciendo el riesgo mediante una relación costo-efectiva en el cumplimiento con políticas, procedimientos y regulaciones. Asimismo, le provee con la solución que se necesita el día de hoy, y lo ayuda a convertir sus prácticas GRC en una base estratégica dentro de la organización.
Portal de Gobierno de Protiviti (PGP)
Gente – Equipo de implementación, expertos en el cliente, industria y tema.
Contenido – Biblioteca de marcos de referencia de Protiviti y del cliente
Tecnología – Recursos de ayuda del Portal de Gobierno de Protiviti
Tiempo de Implementación: • Diagnósticos diarios que definen el camino a seguir • Implementación básica en 20 días, la mayoría de los proyectos se terminan de 2 a 3 meses.
Tiempo de Beneficios: • Los beneficios serán identificados durante la fase de implementación y al comienzo de cada proceso.
Recursos Requeridos: • Mínimos recursos tecnológicos serán requeridos. El equipo del proyecto se involucrará en el establecimiento, diseño y posicionamiento a través de capacitación constante en el empleo de la herramienta.
Tiempo de Resultados Medidas KPI Beneficios Estratégicos
• Tiempo para completar el proceso de certificación (p.e sección 302)
• Participación en programas de auto evaluación
• # de hallazgos identificados • Días vencidos de las
observaciones • # de auditorias al año • Satisfacción del auditado • % de riesgos principales
cubiertos • Técnicas de cobertura para
los riesgos principales
• Expansión de cobertura de riesgos estratégicos/operacionales principales
• Reducción de costos de cumplimiento vía gestión de políticas, objetivo y excepción.
• Diseño holístico de respuesta a riesgos con niveles de tolerancia.
• Prevención de fraude y de no cumplimiento con regulaciones
• Alineación de la estrategia, administración del riesgo, capacidades y desarrollo de los procesos de la gerencia.
Algunos Beneficios: • Crea una base de datos compartida de un marco de referencia medible de GRC • Unifica estrategias de riesgos estratégicos, financieros, operacionales y de
cumplimiento. • Refuerza la rendición de cuentas, minimiza la demanda del tiempo de los
usuarios. • Consistencia, calidad y ejecución de las auditorías/programas de cumplimiento. • Reduce tiempo del proyecto, generando entrenamiento y cumplimiento profesional • Consolida información entre líneas multidisciplinarias de negocios, permitiendo
análisis en tiempo, administración de los reportes y la generación de reportes ejecutivos.
• Administración de las observaciones y su remediación en tiempo
Beneficios Cuantificables: Costo • Minimiza los honorarios de los auditores externos, gasto en consultoría,
ineficiencia interna. 5 to 10% Tiempo • Incrementa la eficiencia de los auditores 10% • Corta duración de la evaluación de los ciclos 15% • Reduce esfuerzos en la generación de reportes y en
su seguimiento 20% • Desarrolla eficiencia en auditores 10%
16 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
VIII. PGP en LATAM
16
EGRC Software Consideraciones en la implementación de una solución GRC GRC - Gobierno, Riesgo y Cumplimiento Noviembre, 2015
18 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
Contactos
Roberto Abad Managing Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]
Luis Cabrera Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]
Iván Torres Manager Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 [email protected]
19 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.
19