Aplicación de GRC para habilitar la Función de Auditoría Interna en el contexto de negocio, con la generación de sinergias hacia funciones como la Gestión del Riesgo, del Cumplimiento, de Incidentes, de Proveedores y de Seguridad, entre otros.
Nuevo Enfoque de la Auditoría Empresarial a través de GRC
1. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
C
Nuevo Enfoque de la Auditoría
Empresarial a través de GRC
Bruno Alejandre González
Archer eGRC Technical Consultant Latin America & Caribbean
2. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Agenda
• Situación actual y requerimientos
• Contexto eGRC
• Flujo Típico de Riesgo – Cumplimiento – Auditoría
• Modelo de Madurez de Implementación GRC
• Caso de Negocio y ROI
• Analistas: Plataformas GRC
4. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Escenario Organizacional
5. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Requerimientos de Auditoría
• Basada en el monitoreo proactivo del escenario de
riesgos de la empresa.
• Capacidad de ajustar el alcance y tipo de la auditoría
con base en el resultado del análisis del riesgo.
• Alcance que rebasa el típico enfoque financiero.
• Competencia requerida por las guías de IIA.
• Seguimiento a observaciones recurrentes.
• Visibilidad sobre el efecto de la auditoría en el riesgo
residual.
• Robustecimiento del equipo de auditores internos.
8. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gobierno, Riesgo y Cumplimiento
• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las
cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento, el
cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes
externas y reglamentos, así como con políticas y procedimientos
corporativos.
9. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
C
Contexto y Cultura Organizar y Supervisar
Monitorear y Medir Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir
Marco de Referencia OCEG
12. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Marco Normativo y Aplicabilidad
Normativa Interna
(Controles)
Normativa Externa
(Leyes/Estándares)
Proceso A
Proceso B
Proceso C
AdministraciónEmpresarial
Administración de Políticas
Aplicabilidad Normativa
13. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gestión de Riesgos/Cumplimiento
2
2 1 1
1
1
Probabilidad
Impacto
•Clasificación
•Estimación $$
Análisis Respuesta Tratamiento Monitoreo
Normativa Interna
(Controles)
Normativa Externa
(Leyes/Estándares)
Proceso A
Proceso B
Proceso C
Gestión de Tareas
•Notificaciones por correo
•Fechas límite
•Escalamientos
•Flujos de revisión
•Monitoreo en sistema
Evaluación de operación
•Control Interno
•Inspección ocular
•Evidencia de aplicación
Cuestionarios Personalizados
•Control Interno / Propietario
•Inspección ocular
•Evidencia de aplicación
Evaluación de Diseño
•Control Interno / Propietario
•Inspección ocular
•Evidencia de aplicación
Gestión de Hallazgos
•Identificación de hallazgos
•Evaluación de riesgos
•Definición de estrategias
•Notificaciones por correo
•Definición de nuevos controles
Reportes
•Ejecutivos
•Para Autoridades
•Analíticos
Ley/Std
14. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Auditoría Integrada
Gestión de Auditorías
•Definición de Universo Auditable
•Planeación basada en criticidad
•Librería de Auditorías
•Plantillas de hojas de trabajo
•Emisión y seguimiento a
observaciones
•Encuestas de Satisfacción del Cliente
Gestión de Personal
•Definición de certificaciones
•Administración plan de carrera
•Gestión de cargas de trabajo
16. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Básico
Definido
Fundamentado
Liderado
• Casos de Uso definidos
Perfil de Implementación
• Casos de Uso enfocados
• Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos básicos
• Identificar estado actual de
objetivos y casos de usos
• Procesos identificados
• Requerimientos documentados
• Planes de implementación
desarrollados
• Equipo de implementación
identificado
Perfil de Implementación
• Casos de Uso alineados al
modelo OOTB
• Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos definidos
• Objetivos futuros establecidos y
coordinados
• Procesos y contenidos
integrados y en flujo, dominio
único
• Plan de infraestructura
escalable
• Involucrados clave entrenados
Perfil de Implementación
• Casos de Uso mixtos: OOTB y
Llave en mano
• Dominio único
• Enfocado en cumplimiento y
riesgos
• Todos los elementos
fundamentados
• Visión, alcance y estrategia
eGRC
• Adopción corporativa
• Procesos y contenidos
integrados y en flujo, dominios
múltiples
• Entendimiento del riesgo del
negocio
• Taxonomía y visibilidad de
contenidos completas
• Involucrados habilitados
Perfil de Implementación
• Múltiples Casos de Uso de
negocio/industria
• Dominios múltiples
• Enfoque GRC
Modelo de Madurez
17. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Comenzar pequeño - Victorias rápidas
Visión empresarial- Establecer bases
GRC
Estrategias delPrograma
19. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Caso de Negocio
Oportunidad de
Implementación
Estado Actual
Solución Propuesta
Implementación del
Proyecto
Definición de Visión
Estado Ideal
20. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Maximización del ROI
Implementación
Definir requerimientos y diseño
Diseño comprometido con
involucrados
Procesos, contenido e
infraestructura
Estrategia del programa
21. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Evolución de Escenario
Alineación con el Negocio y Organización del Programa GRC
ROI de
Implementación
Definición de proyecto
Vista del plan de implementación (Corto vs Largo plazos)
Estrategia Cross-Dominios
Apalancamiento Tecnológico (Suite Completa)
Habilidad de vincular gente, procesos y tecnología
Consideraciones del Programa
Costos de
Implementación
22. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Beneficios Cuantitativos
Valor Generado Mecanismo de Medición
Eficiencia en
procesos
Ahorros anuales debido a reducción de esfuerzo: $125,000 USD
Ahorros anuales por la reutilización de cuestionarios de evaluación: $50,000 USD
Colaboración Redución de costos por la consolidación de esfuerzos y recursos dispersos: 97% del
costo
Velocidad y
agilidad
Reducción en el tiempo requerido para completar una revisión: de 2 meses a 1 día
Incremento en el tamaño de la muestra auditable: 50%
Reducción de riesgos inherentes: 25%
Visibilidad Reducción del tiempo de reporteo: 90%
Ahorros anuales por optimización de esfuerzos corporativos: $ 2.5 MUSD
Ahorros por negociación de contratos integrales: $1 MUSD
Seguridad Reducción de eventos de pérdida anuales de la gestión del riesgo: $1.5 MUSD
Reducción de impacto anual al negocio por riesgos de imagen: $500,000 USD
Reducción de impacto anual al negocio por fuga de información: $175,000 USD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
23. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI en Cifras
ROI Periodo de
Retorno
Beneficios
Totales (VP)
Costos Totales
(VP)
Valor Presente
Neto
572% < 12 Meses $22,966 KUSD ($3,149 KUSD) $19,546 KUSD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
24. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI Proyectado
-2000
0
2000
4000
6000
8000
10000
12000
14000
16000
Inicial Año 1 Año 2 Año 3
Series1
Series2
Total de Costos Total de Beneficios
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
26. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Gartner
Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms
27. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Forrester
Fuente: The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011
The Forrester Wave™: IT Governance, Risk, And Compliance Platforms, Q4 2011
28. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Bruno Alejandre
Archer eGRC Technical Consultant
bruno.alejandregonzalez@rsa.com