Aplicación de GRC para habilitar la Función de Auditoría Interna en el contexto de negocio, con la generación de sinergias hacia funciones como la Gestión del Riesgo, del Cumplimiento, de Incidentes, de Proveedores y de Seguridad, entre otros.
Universidad Técnica Particular de Loja
Ciclo Académico Abril Agosto 2011
Carrera: Contabilidad y Auditoría
Docente: Mgs. Liz Valle
Ciclo: Sexto
Bimestre: Segundo
Presentación ofrecida por Vicente Aguilera, dentro del marco del capítulo de ISACA de Valencia. Esta conferencia, mostraba las buenas prácticas recogidas en las principales iniciativas de seguridad del software existentes actualmente.
Universidad Técnica Particular de Loja
Ciclo Académico Abril Agosto 2011
Carrera: Contabilidad y Auditoría
Docente: Mgs. Liz Valle
Ciclo: Sexto
Bimestre: Segundo
Presentación ofrecida por Vicente Aguilera, dentro del marco del capítulo de ISACA de Valencia. Esta conferencia, mostraba las buenas prácticas recogidas en las principales iniciativas de seguridad del software existentes actualmente.
Jornada de Auditoría "Control de Calidad y nuevas Normas Técnicas de Auditoría", organizada por el Registro General de Auditores (REGA), el REA y Censores. Colegi de Empresistas de Murcia, 18 de Febrero de 2011.
Comunicación "NTA provisional sobre Relación entre Auditores", por Francisco Jesús Sierra Capel.
El canal de denuncias es una garantía del cumplimiento ético en la empresa. Cuáles son sus objetivos. Características que debe de tener el canal de compliance. Cómo establecerlo. Ventajas de un canal de denuncias externo. Prevención de la responsabilidad penal de la empresa.
Cómo considerar el riesgo legal y quién debe medirlo: claves para el análisis y la repartición de responsabilidades en cuanto al control seguimiento y reporting. Cómo establecer una política para la evaluación del riesgo legal: Hasta dónde valorar y qué nivel de riesgo tolerar. Claves para establecer Medidas Mitigadoras (PTA/deadline) para la gestión Integral del riesgo Legal
Presentación sobre cómo generar un mapa de riesgos penales y mapa de riesgos de compliance como parte de un programa de compliance.
La presentación trata los siguientes temas: identificación de riesgos, política de control y gestión de riesgos, manual de prevención de delitos en cumplimiento del código penal Español, modelo de prevención del delito, comité de cumplimiento, mapa de riesgos penales, políticas de actuación, actividades de riesgos, conductas delictivas, identificar los riesgos relevantes, efectividad de los controles adoptados para mitigar riesgos de compliance, unidad de cumplimiento normativo, tolerancia al riesgo, riesgo aceptable, artículo 31 bis,metodología COSO, cualitativo, cuantitativo
De interés para España, Argentina, Chile, y Mexico
Presentación para implementar un plan de compliance Cómo diseñar e implementar un Programa de Prevención de Delitos: cumpliendo con las exigencias del Código Penal
• Cómo debe implementarse un Programa de Prevención de Delitos.
Alcance mínimo y mejores prácticas • Cuáles son las distintas fases de implementación
> Alcance y estrategias de organización según la cultura y la madurez del control interno. Estructura y dependencia
> Orientación de recursos según los distintos riesgos identificados en un mapa de riesgos penales
> Prácticas y medidas eficientes de prevención en políticas y
protocolos de delegación de autoridad
> Debido control ante riesgos y fraudes frecuentes
> Prácticas de documentación de los controles del programa
> Reporte de riesgos y faltas a comités
> Monitoreo del programa y de nuevos riesgos
• Cómo incorporar e integrar en el Código Ético los siguientes
ítems: canal de denuncia, código financiero, prevención de corrupción, información privilegiada, delitos contra el mercado, poderes y protección del medio ambiente
JP Consultoría es una firma ubicada en Costa Rica, centrada en la consultoría en tecnologías de la información y gestión del potencial humano, y el desarrollo de aplicaciones a medida.
Más información: http://jpicadoyasociados.com
Charla relacionada a los diferentes estímulos del gobierno colombiano para especializarse en temas de tecnologías emergentes y marcos de trabajo aceptados internacionalmente, e introducción al marco de trabajo de gestión de proyectos del Project Management Institute PMI y la presentación del examen Project Management Professional PMP. Capacitación impartida en Seguros Bolívar S.A.
Hacia dónde vamos, hacia un despacho "artesano" o a un despacho comprometido con los nuevos tiempos, los nuevos modelos de negocio, los nuevos usos de los clientes,...
Curso Control de gestión y construcción de indicadores desarrollado como parte del curso de Control de Gestión para el Instituto Nacional de Estadística de Chile (INE)
Curso Control de gestión y construcción de indicadores a desarrollado como parte del curso de Control de Gestión para el Instituto Nacional de Estadística de Chile (INE)
Presentación de servicios de consultoria de negocios, Procesos, Tecnología de Información y Desarrollo del Talento Humano. CoACH Consultores marca registrada, experiencia y compromiso en su estrategia de negocios, desde 1995 en México y América Latina
Similar a Nuevo Enfoque de la Auditoría Empresarial a través de GRC (20)
Fortalecimiento de la seguridad combinando las capacidades de analíticos sobre logs y paquetes de red, además de las capacidades avanzadas de detección de malware,
White paper cyber risk appetite defining and understanding risk in the moder...balejandre
Managing risk is a balancing act for organizations of all sizes and disciplines. While some organizations take on too much risk, others arguably do not take on enough. Complicating this equation is the emergence of cyber as one of the most impactful sources of risk in the modern enterprise
Nuevo Enfoque de la Auditoría Empresarial a través de GRC
1. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
C
Nuevo Enfoque de la Auditoría
Empresarial a través de GRC
Bruno Alejandre González
Archer eGRC Technical Consultant Latin America & Caribbean
2. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Agenda
• Situación actual y requerimientos
• Contexto eGRC
• Flujo Típico de Riesgo – Cumplimiento – Auditoría
• Modelo de Madurez de Implementación GRC
• Caso de Negocio y ROI
• Analistas: Plataformas GRC
4. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Escenario Organizacional
5. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Requerimientos de Auditoría
• Basada en el monitoreo proactivo del escenario de
riesgos de la empresa.
• Capacidad de ajustar el alcance y tipo de la auditoría
con base en el resultado del análisis del riesgo.
• Alcance que rebasa el típico enfoque financiero.
• Competencia requerida por las guías de IIA.
• Seguimiento a observaciones recurrentes.
• Visibilidad sobre el efecto de la auditoría en el riesgo
residual.
• Robustecimiento del equipo de auditores internos.
8. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gobierno, Riesgo y Cumplimiento
• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las
cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento, el
cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes
externas y reglamentos, así como con políticas y procedimientos
corporativos.
9. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
C
Contexto y Cultura Organizar y Supervisar
Monitorear y Medir Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir
Marco de Referencia OCEG
12. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Marco Normativo y Aplicabilidad
Normativa Interna
(Controles)
Normativa Externa
(Leyes/Estándares)
Proceso A
Proceso B
Proceso C
AdministraciónEmpresarial
Administración de Políticas
Aplicabilidad Normativa
13. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gestión de Riesgos/Cumplimiento
2
2 1 1
1
1
Probabilidad
Impacto
•Clasificación
•Estimación $$
Análisis Respuesta Tratamiento Monitoreo
Normativa Interna
(Controles)
Normativa Externa
(Leyes/Estándares)
Proceso A
Proceso B
Proceso C
Gestión de Tareas
•Notificaciones por correo
•Fechas límite
•Escalamientos
•Flujos de revisión
•Monitoreo en sistema
Evaluación de operación
•Control Interno
•Inspección ocular
•Evidencia de aplicación
Cuestionarios Personalizados
•Control Interno / Propietario
•Inspección ocular
•Evidencia de aplicación
Evaluación de Diseño
•Control Interno / Propietario
•Inspección ocular
•Evidencia de aplicación
Gestión de Hallazgos
•Identificación de hallazgos
•Evaluación de riesgos
•Definición de estrategias
•Notificaciones por correo
•Definición de nuevos controles
Reportes
•Ejecutivos
•Para Autoridades
•Analíticos
Ley/Std
14. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Auditoría Integrada
Gestión de Auditorías
•Definición de Universo Auditable
•Planeación basada en criticidad
•Librería de Auditorías
•Plantillas de hojas de trabajo
•Emisión y seguimiento a
observaciones
•Encuestas de Satisfacción del Cliente
Gestión de Personal
•Definición de certificaciones
•Administración plan de carrera
•Gestión de cargas de trabajo
16. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Básico
Definido
Fundamentado
Liderado
• Casos de Uso definidos
Perfil de Implementación
• Casos de Uso enfocados
• Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos básicos
• Identificar estado actual de
objetivos y casos de usos
• Procesos identificados
• Requerimientos documentados
• Planes de implementación
desarrollados
• Equipo de implementación
identificado
Perfil de Implementación
• Casos de Uso alineados al
modelo OOTB
• Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos definidos
• Objetivos futuros establecidos y
coordinados
• Procesos y contenidos
integrados y en flujo, dominio
único
• Plan de infraestructura
escalable
• Involucrados clave entrenados
Perfil de Implementación
• Casos de Uso mixtos: OOTB y
Llave en mano
• Dominio único
• Enfocado en cumplimiento y
riesgos
• Todos los elementos
fundamentados
• Visión, alcance y estrategia
eGRC
• Adopción corporativa
• Procesos y contenidos
integrados y en flujo, dominios
múltiples
• Entendimiento del riesgo del
negocio
• Taxonomía y visibilidad de
contenidos completas
• Involucrados habilitados
Perfil de Implementación
• Múltiples Casos de Uso de
negocio/industria
• Dominios múltiples
• Enfoque GRC
Modelo de Madurez
17. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Comenzar pequeño - Victorias rápidas
Visión empresarial- Establecer bases
GRC
Estrategias delPrograma
19. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Caso de Negocio
Oportunidad de
Implementación
Estado Actual
Solución Propuesta
Implementación del
Proyecto
Definición de Visión
Estado Ideal
20. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Maximización del ROI
Implementación
Definir requerimientos y diseño
Diseño comprometido con
involucrados
Procesos, contenido e
infraestructura
Estrategia del programa
21. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Evolución de Escenario
Alineación con el Negocio y Organización del Programa GRC
ROI de
Implementación
Definición de proyecto
Vista del plan de implementación (Corto vs Largo plazos)
Estrategia Cross-Dominios
Apalancamiento Tecnológico (Suite Completa)
Habilidad de vincular gente, procesos y tecnología
Consideraciones del Programa
Costos de
Implementación
22. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Beneficios Cuantitativos
Valor Generado Mecanismo de Medición
Eficiencia en
procesos
Ahorros anuales debido a reducción de esfuerzo: $125,000 USD
Ahorros anuales por la reutilización de cuestionarios de evaluación: $50,000 USD
Colaboración Redución de costos por la consolidación de esfuerzos y recursos dispersos: 97% del
costo
Velocidad y
agilidad
Reducción en el tiempo requerido para completar una revisión: de 2 meses a 1 día
Incremento en el tamaño de la muestra auditable: 50%
Reducción de riesgos inherentes: 25%
Visibilidad Reducción del tiempo de reporteo: 90%
Ahorros anuales por optimización de esfuerzos corporativos: $ 2.5 MUSD
Ahorros por negociación de contratos integrales: $1 MUSD
Seguridad Reducción de eventos de pérdida anuales de la gestión del riesgo: $1.5 MUSD
Reducción de impacto anual al negocio por riesgos de imagen: $500,000 USD
Reducción de impacto anual al negocio por fuga de información: $175,000 USD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
23. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI en Cifras
ROI Periodo de
Retorno
Beneficios
Totales (VP)
Costos Totales
(VP)
Valor Presente
Neto
572% < 12 Meses $22,966 KUSD ($3,149 KUSD) $19,546 KUSD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
24. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI Proyectado
-2000
0
2000
4000
6000
8000
10000
12000
14000
16000
Inicial Año 1 Año 2 Año 3
Series1
Series2
Total de Costos Total de Beneficios
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
26. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Gartner
Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms
27. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Forrester
Fuente: The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011
The Forrester Wave™: IT Governance, Risk, And Compliance Platforms, Q4 2011
28. “INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Bruno Alejandre
Archer eGRC Technical Consultant
bruno.alejandregonzalez@rsa.com