Gobierno, Riesgo y Cumplimiento

Eficiencia,
transparencia y
responsabilidad
Por: Eduardo Cocina

1 Administración
de Riesgos
Todas las empresas tienen por meta la creación
de valor, y todo aquello que desacelere la
generación de beneficios y utilidades es
un riesgo que debe ser administrado por
medio de un marco de control soportado
por herramientas tecnológicas de Gobierno,
Riesgo y Cumplimiento.

Por otro lado, las regulaciones son cada día

más exigentes, sin importar el sector en el que
se desempeñe la organización. ¿Cómo estar
preparado para dar respuesta a cada norma
gubernamental o de organismos de vigilancia?

Esta sería una pregunta muy complicada

de responder, si cada tema en la empresa
se abordara de forma aislada; sin embargo,
con el apoyo de procesos sustentados en la
tecnología es posible que la Alta Dirección tenga
una visibilidad total de estos puntos, y, lo más
importante, de cómo se les está dando atención.
 La transformación digital
Estamos viviendo una gran evolución tecnológica
que permitirá a las empresas duplicar su
productividad gracias a la transformación digital.
De acuerdo con el estudio Perspectivas globales
del CEO 2017. Disrupción y crecimiento, 47% de
los directores generales de todo el mundo están
preocupados por el hecho de que su organización
esté al día con las nuevas tecnologías, y seis
de cada 10 no se sienten completamente
preparados para un evento cibernético, aunque
consideran que este tema es uno de los cinco
riesgos más importantes para su negocio.
las cosas o IoT están modificando los negocios
en distintas industrias.
En cuanto al mercado de blockchain este
tendrá un valor de USD2,300 millones para
2021; por otro lado, los robots reemplazarán
a más de 100 millones de trabajadores, o
un tercio de los empleos del mundo, antes
de 2025, y para 2020, el IoT tendrá más de
200,000 millones de elementos conectados,
incluyendo aviones, automóviles, hogares,
ciudades e, incluso, animales.

Por otro lado, tendencias de la Cuarta Revolución Pero no todo es optimista con respecto a la
Industrial como el blockchain, los robots tecnología. Derivado de ella, las empresas están
inteligentes y las plataformas de internet de expuestas a riesgos como:

HACKTIVISMO
HACKING INSPIRADO POR TECNOLOGÍA
MOTIVACIÓN: alianzas compartidas – dinámica
impredecible.
IMPACTO AL NEGOCIO: distribución pública,
pérdida de reputación.

CRIMEN ORGANIZADO
Las amenazas MOTIVACIÓN: financiera.
IMPACTO AL NEGOCIO: pérdida de información.

¿Quiénes son?

EL INTERNO
INTENCIONAL O NO INTENCIONAL
MOTIVACIÓN: rencor, ganancia financiera.
IMPACTO AL NEGOCIO: distribución o destrucción,
robo de información, pérdida de la reputación.

ESPIONAJE Y SABOTAJE
MOTIVACIÓN: ventaja política, económica y militar.
IMPACTO AL NEGOCIO: interrupción o destrucción,
robo de información, pérdida de la reputación.

Gobierno, Riesgo y Cumplimiento 3

Preocupaciones en las empresas
Para gestionar adecuadamente este tipo de
amenazas, las organizaciones deben identificar
cuáles son las más críticas para su operación y
cuáles requieren un plan de mitigación específico.
En este sentido, la estructura del gobierno
corporativo debería facilitar la escalada de los
problemas para tomar mejores decisiones. Para
lograrlo, hay que garantizar que las áreas de
Riesgo y Cumplimiento posean la influencia y
autoridad suficientes para atender cada caso.
Por otra parte, es necesario que la cultura
y las políticas de la compañía fomenten
la responsabilidad individual en todos los
niveles y, al mismo tiempo, que los controles
se encuentren alineados con los principales
factores de riesgo para tener un nivel de
control adecuado en todo el negocio.
Dicho control debe estar en manos de personal
con las habilidades idóneas para ejecutarlo.
En paralelo, hay que configurar los sistemas
de tecnologías de la información (TI) para
aprovechar las capacidades automatizadas de
Información de la gestión de riesgos y del negocio
Interno
Patrocinadores Consejo de VP, directores,
Accionista
Administración gerentes
Procesos
de reporteo
Funciones Gestión Auditoría
Cumplimiento
de vigilancia de Riesgo Interna
Análisis y
captura de datos
Unidades
UN UN UN
de negocio
4 Delineando Estrategias
control y monitoreo, basándose en
un programa de aseguramiento de riesgos
global aceptable en el que los reportes
de riesgos, cumplimiento y control se
encuentren alineados.
A la par, la Alta Dirección de la empresa tiene
la tarea de considerar los datos incorporados
en los procesos de negocio para la gestión de
riesgos, el monitoreo de controles y el apego
a la normatividad, habiendo comprendido,
definido y articulado el apetito y tolerancia al
riesgo que asume el negocio, sin descuidar
el hecho de contar con sistemas que permitan
generar información o datos relevantes para un
monitoreo adecuado, así como el desarrollo de
una metodología estandarizada de gestión
de riesgos.
Este complejo entorno de retos internos
y externos, junto con el aumento de los
requerimientos regulatorios, ha dado lugar a
procesos de gestión empresarial y de riesgos en
el que diversas causas influyen en las decisiones
corporativas de gobierno, riesgo y control:
Externo
Agencias
Auditor Reguladores
calificadoras
Finanzas y Recursos Jurídico
Ineficiencias
Tesorería Humanos y Legal
UN UN UN
Fuente: KPMG Single View of Risk Presentation on GRC, 2013.
 Retos de gobierno,
riesgo y cumplimiento
Los riesgos son cada vez más complejos, es responsable de identificar y gestionar los
hay mayor escrutinio regulatorio y un riesgos, actuando con prontitud cuando estos
entorno de cumplimiento más riguroso, se materializan, y monitoreándolos con la
incrementando significativamente los desafíos implementación de controles eficaces que sean
para las funciones de Riesgo y Cumplimiento parte de la estrategia del negocio.
de las empresas. Por otra parte, los enfoques
aislados para dar respuesta a estos desafíos en Un modelo de Gobierno, Riesgo y Cumplimiento
ocasiones provocan la duplicación de funciones (GRC) brinda a las organizaciones la oportunidad
y procesos en ambas áreas. de contar con un marco de control integral,
automatizado por medio de plataformas
Ante los enormes costos asociados con tecnológicas, para gestionar cuatro áreas
esta consecuencia negativa, además de fundamentales en su desarrollo a largo
lograr el cumplimiento, reportar información plazo: Gobierno, Administración de Riesgos,
y gestionar los riesgos del negocio, los Cumplimiento Regulatorio y Auditoría Interna.
miembros de los comités directivos intentan
generar valor en sus actividades, dado que GRC es un enfoque cuyo objetivo es
existe una mayor responsabilidad e inspección alinear los procesos de gobierno, riesgo
en cuanto a la función, capacidades y gobierno y cumplimiento de la organización con su
de dichos comités. estrategia, permitiendo la convergencia y
transparencia de la información para impulsar
En cualquier industria o mercado en México, el rendimiento y la resiliencia en un ambiente
además de generar valor, la Alta Dirección de negocios dinámico y cambiante. Para que
un modelo holístico con estas características
Marco de control GRC cumpla su cometido es necesario llevar a
cabo una implementación a la medida de las
necesidades de cada compañía, permitiéndole
Auditoría interna determinar la plataforma tecnológica que
mejor se adapte a ellas en función de diversos
C u m p l i m i e n to
factores, como su apetito al riesgo o sus
métricas e políticas y procedimientos de operación.
iesgo,
n de r ind
i ca
stió Polític
do
re Gracias a herramientas de este tipo,
e te y proced as s
G n
Ge lidades im y
i e los líderes de cada función tienen mejor
b i ntos comunicación entre ellos y mayor visibilidad
ha ea de negoci C
Lín o de los controles e indicadores de riesgo que
omtren
en
sg n
os
de rie ació

vención
un amiento

Pre se despliegan cuando algún elemento se

icac
Evalu

sale de la normalidad, permitiendo que

ión y

las medidas correctivas se lleven a cabo

Gobierno
y cultura inmediatamente, dando autonomía a la
la nál logía y
n

información de la empresa, que ya no

Res

ación
e
Repo

ció

inf isis d

depende de un departamento o de una

pu

es
ec

t
Dis

De
orm

ta
a no
s
rte

ño persona en específico.
le

tro
e

ye
o

on
Te

M jecuc d e c
e ane ión
re
o

Por otra parte, GRC permite estandarizar procesos

d n

i
ve ncid jo de ito as
Monrueb
i

sti entes estableciendo grados de responsabilidad para cada

ga c e yp
iones
uno de los encargados de las funciones y procesos
de forma automática, es decir, quién hizo (o dejó
de hacer) qué, y cuándo, evitando duplicaciones
Evaluaciones y esfuerzos aislados.
Revis
iones independientes
Una vez que se establecen dichos parámetros
es posible modificarlos, y después de haberlos

Gobierno, Riesgo y Cumplimiento 5

 puesto en marcha es posible mejorarlos tras un
periodo de prueba con base en el valor agregado
que la empresa haya encontrado en cada uno.
Las bitácoras de trabajo derivadas de un
modelo de GRC constituyen otra de las
grandes bondades de las herramientas
tecnológicas, dado que los registros
siempre están disponibles para los diversos
requerimientos de una empresa, por ejemplo,
auditorías internas o externas, revisiones por
parte de las autoridades o de los organismos
regulatorios, entre otros, obteniendo
beneficios como:
Identificar el grado de madurez
Las compañías deben evaluar el nivel de
madurez de los procesos que soportan a sus
áreas de Gestión de Riesgos, Auditoría Interna,
Contraloría, Normatividad, Control Interno,
Seguridad de la Información, entre otras.
Aunque en muchos casos las empresas cuentan
con procedimientos y controles de gestión, el
gran beneficio que les ofrece la implementación
de una plataforma tecnológica de GRC es la
automatización del monitoreo al que estos
deben estar sujetos.
Es posible implementar el modelo de GRC en
empresas prácticamente de cualquier industria
o sector que requieran gestionar sus riesgos,
monitorear sus controles, prevenir la realización
de fraudes, entre otros temas.
Una vez identificado el nivel de madurez de
sus procesos, el siguiente paso es verificar en
GRC las iniciativas de automatización de los
mismos; al ser una plataforma modular es viable
iniciar con este tipo de implementaciones de
forma independiente, lo que permite eficiencia
operativa en las actividades diarias.
Modelo de prevención de fraude
En un inicio, las herramientas de automatización
de GRC se enfocaban únicamente en
ciertos procesos. En primera instancia se
incluían matrices concentradas en riesgos;
posteriormente se fueron incorporando
controles, herramientas de segregación de
6 Delineando Estrategias
–– Administrar riesgos de forma dinámica
–– Alinear funciones de Riesgo, Control
y Cumplimiento
–– Estandarizar metodologías de riesgo
y marcos de control
–– Monitorear el cumplimiento de normativas,
regulaciones y leyes aplicables a la organización
–– Alertar en tiempo real sobre los incidentes
–– Mantener datos históricos que apoyen en
la toma de decisiones
–– Identificar patrones que permitan pasar
de lo reactivo a lo proactivo
–– Reportar de forma transparente, evitando
estar sujetos a las interpretaciones
Una vez que se lleva a cabo el análisis de “¿Cómo
está la empresa? - ¿Cómo debe estar?”, y se
determinan las soluciones más adecuadas para
ello, en tres meses una función de Control
Interno es capaz de ver los primeros resultados
concretos tras la implementación de herramientas
tecnológicas que facilitan actividades como la
gestión de riesgos, el monitoreo de controles, el
control de acceso, entre otras.
Algunas de las características funcionales
de Gobierno, Riesgo y Cumplimiento son:
–– Gestión de riesgos
–– Monitoreo de controles (automático,
manual, semiautomático)
–– Control de acceso
–– Administración de la auditoría interna
–– Gestión de políticas, normativa y
regulaciones
–– Prevención de eventos de fraude
–– Gestión de activos de información
–– Continuidad de negocio y recuperación
de desastres
–– Gestión de proveedores y terceros
–– Autoevaluación de controles
funciones y, más recientemente, módulos
especializados en la prevención de fraudes al
interior de las compañías.
En la búsqueda de evitar posibles actos desleales
por parte de algún colaborador, una plataforma
 tecnológica especializadaen la prevención de
fraudes monitorea diferentes funciones y el
manejo que tienen de determinada información
operativa sofisticada.
La infraestructura tecnológica y los recursos
de esta detección son más complejos que
los empleados para prevenir riesgos de
cumplimiento, porque deben correlacionar en
tiempo real múltiples operaciones detectando
Automatización de Auditoría Interna
La función de Auditoría Interna en sí misma
también puede ser automatizada, dejando
en el pasado un enfoque en el que se
establecía un plan anual que se revisaba de
manera aislada por parte de los diferentes
comités y áreas responsables del negocio,
para adoptar un esquema con revisiones y
equipos de trabajo modelados dentro de la
herramienta tecnológica.
Bajo este esquema de colaboración pueden
definirse acciones a seguir, planes de acción,
fechas de entrega, evidencias y certificaciones
por parte de distintos responsables.
Las diferentes áreas son correlacionadas por la
propia plataforma con el objetivo de detectar
posibles riesgos, ejercer controles e identificar
Segregación de funciones
Algunos sectores e industrias establecen
como requisito regulatorio indispensable
la segregación de funciones. Con GRC, las
funciones encargadas de realizar compras
y ventas o de gestionar los inventarios
(que generan una cantidad enorme de
operaciones) pueden segregarse de acuerdo
con controles previamente establecidos para
que los diferentes responsables requieran
la autorización de sus colegas, y se eviten
omisiones o acciones que vulneren al negocio.
Como sucede con otros aspectos de GRC es
preciso determinar estas restricciones con base
en las propias necesidades de la organización,
para evitar la creación de cuellos de botella
que, antes que agilizar los procesos y el
funcionamiento de la compañía, los entorpezcan.
patrones que podrían desembocar en un
fraude. Al determinar las gerencias clave
en un mapa de prevención se monitorean
constantemente las actividades de cada
una, aplicándoles controles de seguridad
para minimizar el riesgo de un acto desleal,
estableciendo autorizaciones, candados,
restricciones o capacidades de ejecución que
a un área no le es permitido realizar sin el visto
bueno de una o más funciones adicionales.
a aquellas que no están cumpliendo a cabalidad
con sus responsabilidades.
Una de las grandes ventajas del modelo de
GRC es que, conforme pasen los ejercicios
de revisión, se irán generando registros
históricos que estarán a disposición de todos
los departamentos involucrados para revisar el
progreso que tuvieran los puntos críticos o áreas
de mejora que se hubieran tenido.
Asimismo, al realizar un análisis de todas las
incidencias detectadas en cada auditoría es viable
establecer planes remediales; nuevamente,
con plazos y responsables establecidos,
supervisando que todos los indicadores negativos
se transforman en puntos a favor del negocio de
manera transparente mejorando continuamente.
Con la visibilidad que este marco de control
genera pueden identificarse las áreas en donde
se dan conflictos de intereses, e implementar
medidas que minimicen la posibilidad de
cometer actos de corrupción.
Aunque la mayor parte de las regulaciones,
estándares o mejores prácticas exigen la
segregación de funciones al interior de la
compañía: COSO, SOX, CoBIT, ISO 27000, NIST,
Basilea II, Basilea III, PCAOB, CNBV (Art. 6),
CUB (Art.154), la mejor herramienta tecnológica
solo es capaz de establecer indicadores y
controles para prevenir los conflictos; en la Alta
Dirección y los responsables de cada área está la
responsabilidad de aprovechar esta información
y llevar a cabo estrategias que fortalezcan a la
organización a corto, mediano y largo plazo.
Gobierno, Riesgo y Cumplimiento 7
Gobierno, Riesgo y Cumplimiento (GRC)

Eficiencia, transparencia
y responsabilidad
¿Cómo estar preparado para dar respuesta a cada norma gubernamental o de organismos de vigilancia, o a los riesgos que
surgen en la operación cotidiana de la empresa? Con el apoyo de procesos sustentados en la tecnología es posible tener
una visibilidad total de estos puntos, y, aún más importante, de cómo se les está dando atención.

Las amenazas que enfrentan las empresas

G RC
s de
io
cip
rin
P
Hacktivismo Crimen Riesgos Espionaje
organizado internos y sabotaje Perfil de riesgo
–
–Gestión de riesgo
–
–Interdependencias
Estrategia
RC
lG
io
oc

a
operacion

g
od so de ne
Misión Valores

elo
e c
Integr

Pro
M
aci ó

Modelo de negocio Cultura organizacional

ny

–
–Motivación, incentivos,
cam

ética y sanciones
bio

Principales beneficios de Gobierno, Riesgo y Cumplimiento

Administrar riesgos de forma dinámica

Alinear funciones de riesgo, control y cumplimiento

Estandarizar metodologías de riesgo y marcos de control

Monitorear el cumplimiento de normativas,

regulaciones y leyes aplicables a la organización

Alertar en tiempo real sobre los incidentes

Mantener datos históricos que apoyen en la

toma de decisiones
Identificar patrones que permitan pasar de lo reactivo
a lo proactivo
Reportar de forma transparente, evitando estar
sujetos a las interpretaciones
8 Delineando Estrategias
 Procesos de negocio monitoreados con GRC
Operaciones Ventas Legal

Tecnología de Recursos
Finanzas
Información Humanos

Tec
nol
og
ía

Gobierno,
organización e
infraestructura:
–
–Funciones y
responsabilidades
M Cumplimiento

Resiliencia
Pro
od so de ne
elo
c e

operacion
g

oc
i
lG o
Mejora continua
a

RC

Supervisión
–
–Monitoreo continuo
–
–Revisión de eficiencia
y eficacia
a
inu

–
–Reporteo integrado
Características de la funcionalidad de GRC
nt
co
ra

o
ej
M
RC
G Gestión de riesgos Prevención de eventos de fraude
d e
pi os
ci
Prin Monitoreo de controles (automático,
Gestión de activos de información
manual, semiautomático)

Continuidad de negocio y
Control de acceso
recuperación de desastres

Administración de la auditoría interna Gestión de proveedores y terceros

Gestión de políticas, normativa

Autoevaluación de controles
y regulaciones

Gobierno, Riesgo y Cumplimiento da visibilidad en tiempo real sobre las operaciones que llevan a
cabo las funciones clave de la empresa. Sin embargo, el valor que genera depende del grado de
REFLEXIÓN
integración tecnológica y la madurez del programa de riesgo-control de la organización en conjunto,
porque no es un proyecto de tecnología, es un modelo incluyente donde todo el negocio participa.
Gobierno, Riesgo y Cumplimiento 9
 Historia
de éxito
Garantizar el cumplimiento
para crecer
Dado que parte de su estrategia de
crecimiento consistía en incorporarse
al mercado de valores, una empresa
manufacturera mexicana, cuya casa matriz
se encuentra en el extranjero, decidió
implementar un esquema de Gobierno,
Riesgo y Cumplimiento control de proceso,
acceso y segregación de funciones, para
realizar una remediación en el monitoreo
automatizado de controles, aprovisionamiento
de accesos a las plataformas tecnológicas
y segregación de funciones.
Una vez que el Consejo de Administración tomó la
decisión de apoyarse en KPMG para implementar
GRC, la primera fase del proyecto consistió
en analizar la situación y contexto global de la
compañía para identificar sus puntos críticos.
Para llevar a cabo esta tarea,se programaron
distintos talleres en los que se levantó la
información de la empresa, que se encontraba
en soportes dispersos.
Una vez concluida la fase de análisis, se
comenzó la etapa de diseño para definir las
metas del negocio, trabajando en un esquema
de GRC específico para la compañía.
10 Delineando Estrategias
Las reglas definidas por la casa matriz incluían
decenas de controles que debían realizarse
manualmente debido a sus características
particulares. Ante esta circunstancia, en la
plataforma tecnológica solo se incluyeron
los controles que podían hacerse de
forma automática, y se modelaron puntos
particularmente sensibles para distintas áreas
del negocio como Finanzas, Sistemas, Recursos
Humanos y Operaciones, que fueron aceptados
por la organización con posterioridad, generando
una sinergia positiva en beneficio del negocio.
Una vez definidos los controles, se llevaron a
cabo distintas pruebas técnicas y funcionales
(estas, junto con los responsables internos),
construyendo escenarios, ejecutándolos y
poniéndolos en marcha.
Una vez implementado el modelo de GRC, al
realizar las revisiones de auditoría se identificaron
movimientos posteriores a los cierres contables,
que, con la evidencia arrojada por la plataforma,
pudieron aclararse sin inconvenientes para las
distintas áreas involucradas, dejando claro que la
compañía se encontraba lista para una salida a bolsa
sin contratiempos en términos de cumplimiento.
Conclusiones
Todas las empresas están sujetas a diversos riesgos que
tienen el potencial de comprometer su crecimiento o,
incluso, poner en entredicho la viabilidad del negocio
y desacelerar la generación de valor.

Una vez realizado un caso de negocio que apalanque

económicamente la iniciativa, un esquema de
automatización de controles de Gobierno, Riesgo
y Cumplimiento permite a las organizaciones tener
visibilidad en tiempo real de las operaciones que llevan
a cabo sus funciones clave, con el objetivo de detectar
actividades potencialmente riesgosas y reducir el
impacto que podrían tener sobre la compañía.

GRC no es un proyecto que pueda encomendarse a una

sola área de la empresa trabajando en silos, tiene que
ser adoptado desde la Alta Dirección permeando todas
las capas, para minimizar los riesgos y dar cumplimiento
a todas las disposiciones normativas, brindando mayor
confianza a inversionistas, clientes, reguladores y otros
grupos de interés.

Las organizaciones deben ser proactivas, no esperar

a que sus riesgos sean realidad y existan pérdidas.
El monitoreo y control es una alternativa de solución,
aunque el valor que genera GRC depende del grado
de integración tecnológica y la madurez del programa
de riesgo-control, porque no solo es un proyecto de
tecnología, es un modelo incluyente donde todo el
negocio participa.

Gobierno, Riesgo y Cumplimiento 11

kpmg.com.mx
01 800 292 KPMG
delineandoestrategias.com

Responsable de la línea de negocios de ciberseguridad, Eduardo tiene

más de 20 años de experiencia en seguridad y control de tecnologías de
información (TI), con las certificaciones CISA, CGEIT y CRISC otorgadas
por ISACA; se especializa en consultoría y auditoría de seguridad y
Eduardo Cocina privacidad de la información en áreas como: riesgos y controles de TI y
procesos de negocio; implementación de soluciones tecnológicas para
Gobierno, Riesgo y Cumplimiento (GRC); administración de identidades
(IAM); auditoría interna; revisiones para cumplimiento regulatorio;
seguridad aplicativa, diseño y arquitectura de soluciones de seguridad
Socio de Asesoría de TI; pruebas de ethical hacking; gestión de vulnerabilidades; diseño
en Tecnologías de e implementación de SGSI; respuesta a incidentes, y monitoreo. Tiene
la Información amplia experiencia utilizando marcos de referencia como NIST, CSF,
KPMG en México COBIT, ISO27001, ISO22301, y diversas publicaciones relativas a riegos
en TI, protección de datos personales y GRC.

Si le interesa contactar al autor de este artículo o desea información adicional, favor de dirigirse al
01 800 292 5764, o si lo desea escríbanos a delineandoestrategias@kpmg.com.mx

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y
oportuna, no puede haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas basado en dicha información
sin la debida asesoría profesional después de un estudio detallado de la situación en particular.

“D.R.” © 2017 KPMG Cárdenas Dosal, S.C., la firma mexicana miembro de la red de firmas miembro de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza.
Blvd. Manuel Ávila Camacho 176 P1, Reforma Social, Miguel Hidalgo, C.P. 11650, Ciudad de México. Impreso en México. Todos los derechos reservados.