Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Eficiencia,
transparencia y
responsabilidad
Por: Eduardo Cocina
1 Administración
de Riesgos
Todas las empresas tienen por meta la creación
de valor, y todo aquello que desacelere la
generación de beneficios y utilidades es
un riesgo que debe ser administrado por
medio de un marco de control soportado
por herramientas tecnológicas de Gobierno,
Riesgo y Cumplimiento.
Por otro lado, tendencias de la Cuarta Revolución Pero no todo es optimista con respecto a la
Industrial como el blockchain, los robots tecnología. Derivado de ella, las empresas están
inteligentes y las plataformas de internet de expuestas a riesgos como:
HACKTIVISMO
HACKING INSPIRADO POR TECNOLOGÍA
MOTIVACIÓN: alianzas compartidas – dinámica
impredecible.
IMPACTO AL NEGOCIO: distribución pública,
pérdida de reputación.
CRIMEN ORGANIZADO
Las amenazas MOTIVACIÓN: financiera.
IMPACTO AL NEGOCIO: pérdida de información.
¿Quiénes son?
EL INTERNO
INTENCIONAL O NO INTENCIONAL
MOTIVACIÓN: rencor, ganancia financiera.
IMPACTO AL NEGOCIO: distribución o destrucción,
robo de información, pérdida de la reputación.
ESPIONAJE Y SABOTAJE
MOTIVACIÓN: ventaja política, económica y militar.
IMPACTO AL NEGOCIO: interrupción o destrucción,
robo de información, pérdida de la reputación.
Procesos
de reporteo
Análisis y
captura de datos
Unidades
UN UN UN UN UN UN
de negocio
Fuente: KPMG Single View of Risk Presentation on GRC, 2013.
4 Delineando Estrategias
Retos de gobierno,
riesgo y cumplimiento
Los riesgos son cada vez más complejos, es responsable de identificar y gestionar los
hay mayor escrutinio regulatorio y un riesgos, actuando con prontitud cuando estos
entorno de cumplimiento más riguroso, se materializan, y monitoreándolos con la
incrementando significativamente los desafíos implementación de controles eficaces que sean
para las funciones de Riesgo y Cumplimiento parte de la estrategia del negocio.
de las empresas. Por otra parte, los enfoques
aislados para dar respuesta a estos desafíos en Un modelo de Gobierno, Riesgo y Cumplimiento
ocasiones provocan la duplicación de funciones (GRC) brinda a las organizaciones la oportunidad
y procesos en ambas áreas. de contar con un marco de control integral,
automatizado por medio de plataformas
Ante los enormes costos asociados con tecnológicas, para gestionar cuatro áreas
esta consecuencia negativa, además de fundamentales en su desarrollo a largo
lograr el cumplimiento, reportar información plazo: Gobierno, Administración de Riesgos,
y gestionar los riesgos del negocio, los Cumplimiento Regulatorio y Auditoría Interna.
miembros de los comités directivos intentan
generar valor en sus actividades, dado que GRC es un enfoque cuyo objetivo es
existe una mayor responsabilidad e inspección alinear los procesos de gobierno, riesgo
en cuanto a la función, capacidades y gobierno y cumplimiento de la organización con su
de dichos comités. estrategia, permitiendo la convergencia y
transparencia de la información para impulsar
En cualquier industria o mercado en México, el rendimiento y la resiliencia en un ambiente
además de generar valor, la Alta Dirección de negocios dinámico y cambiante. Para que
un modelo holístico con estas características
Marco de control GRC cumpla su cometido es necesario llevar a
cabo una implementación a la medida de las
necesidades de cada compañía, permitiéndole
Auditoría interna determinar la plataforma tecnológica que
mejor se adapte a ellas en función de diversos
C u m p l i m i e n to
factores, como su apetito al riesgo o sus
métricas e políticas y procedimientos de operación.
iesgo,
n de r ind
i ca
stió Polític
do
re Gracias a herramientas de este tipo,
e te y proced as s
G n
Ge lidades im y
i e los líderes de cada función tienen mejor
b i ntos comunicación entre ellos y mayor visibilidad
ha ea de negoci C
Lín o de los controles e indicadores de riesgo que
omtren
en
sg n
os
de rie ació
vención
un amiento
ación
e
Repo
ció
inf isis d
es
ec
t
Dis
De
orm
ta
a no
s
rte
ño persona en específico.
le
tro
e
ye
o
on
Te
M jecuc d e c
e ane ión
re
o
i
ve ncid jo de ito as
Monrueb
i
6 Delineando Estrategias
tecnológica especializadaen la prevención de patrones que podrían desembocar en un
fraudes monitorea diferentes funciones y el fraude. Al determinar las gerencias clave
manejo que tienen de determinada información en un mapa de prevención se monitorean
operativa sofisticada. constantemente las actividades de cada
una, aplicándoles controles de seguridad
La infraestructura tecnológica y los recursos para minimizar el riesgo de un acto desleal,
de esta detección son más complejos que estableciendo autorizaciones, candados,
los empleados para prevenir riesgos de restricciones o capacidades de ejecución que
cumplimiento, porque deben correlacionar en a un área no le es permitido realizar sin el visto
tiempo real múltiples operaciones detectando bueno de una o más funciones adicionales.
Segregación de funciones
Algunos sectores e industrias establecen Con la visibilidad que este marco de control
como requisito regulatorio indispensable genera pueden identificarse las áreas en donde
la segregación de funciones. Con GRC, las se dan conflictos de intereses, e implementar
funciones encargadas de realizar compras medidas que minimicen la posibilidad de
y ventas o de gestionar los inventarios cometer actos de corrupción.
(que generan una cantidad enorme de
operaciones) pueden segregarse de acuerdo Aunque la mayor parte de las regulaciones,
con controles previamente establecidos para estándares o mejores prácticas exigen la
que los diferentes responsables requieran segregación de funciones al interior de la
la autorización de sus colegas, y se eviten compañía: COSO, SOX, CoBIT, ISO 27000, NIST,
omisiones o acciones que vulneren al negocio. Basilea II, Basilea III, PCAOB, CNBV (Art. 6),
CUB (Art.154), la mejor herramienta tecnológica
Como sucede con otros aspectos de GRC es solo es capaz de establecer indicadores y
preciso determinar estas restricciones con base controles para prevenir los conflictos; en la Alta
en las propias necesidades de la organización, Dirección y los responsables de cada área está la
para evitar la creación de cuellos de botella responsabilidad de aprovechar esta información
que, antes que agilizar los procesos y el y llevar a cabo estrategias que fortalezcan a la
funcionamiento de la compañía, los entorpezcan. organización a corto, mediano y largo plazo.
Eficiencia, transparencia
y responsabilidad
¿Cómo estar preparado para dar respuesta a cada norma gubernamental o de organismos de vigilancia, o a los riesgos que
surgen en la operación cotidiana de la empresa? Con el apoyo de procesos sustentados en la tecnología es posible tener
una visibilidad total de estos puntos, y, aún más importante, de cómo se les está dando atención.
a
operacion
g
od so de ne
Misión Valores
elo
e c
Integr
Pro
M
aci ó
–
–Motivación, incentivos,
cam
ética y sanciones
bio
Tecnología de Recursos
Finanzas
Información Humanos
Tec
nol
og
ía
Gobierno,
organización e
infraestructura:
–
–Funciones y
responsabilidades
M Cumplimiento
Resiliencia
Pro
od so de ne
elo
c e
operacion
g
oc
i
lG o
Mejora continua
a
RC
Supervisión
–
–Monitoreo continuo
–
–Revisión de eficiencia
y eficacia
a
inu
–
–Reporteo integrado
Características de la funcionalidad de GRC
nt
co
ra
o
ej
M
RC
G Gestión de riesgos Prevención de eventos de fraude
d e
pi os
ci
Prin Monitoreo de controles (automático,
Gestión de activos de información
manual, semiautomático)
Continuidad de negocio y
Control de acceso
recuperación de desastres
Gobierno, Riesgo y Cumplimiento da visibilidad en tiempo real sobre las operaciones que llevan a
cabo las funciones clave de la empresa. Sin embargo, el valor que genera depende del grado de
REFLEXIÓN
integración tecnológica y la madurez del programa de riesgo-control de la organización en conjunto,
porque no es un proyecto de tecnología, es un modelo incluyente donde todo el negocio participa.
Gobierno, Riesgo y Cumplimiento 9
Historia
de éxito
Garantizar el cumplimiento
para crecer
Dado que parte de su estrategia de Las reglas definidas por la casa matriz incluían
crecimiento consistía en incorporarse decenas de controles que debían realizarse
al mercado de valores, una empresa manualmente debido a sus características
manufacturera mexicana, cuya casa matriz particulares. Ante esta circunstancia, en la
se encuentra en el extranjero, decidió plataforma tecnológica solo se incluyeron
implementar un esquema de Gobierno, los controles que podían hacerse de
Riesgo y Cumplimiento control de proceso, forma automática, y se modelaron puntos
acceso y segregación de funciones, para particularmente sensibles para distintas áreas
realizar una remediación en el monitoreo del negocio como Finanzas, Sistemas, Recursos
automatizado de controles, aprovisionamiento Humanos y Operaciones, que fueron aceptados
de accesos a las plataformas tecnológicas por la organización con posterioridad, generando
y segregación de funciones. una sinergia positiva en beneficio del negocio.
Una vez que el Consejo de Administración tomó la Una vez definidos los controles, se llevaron a
decisión de apoyarse en KPMG para implementar cabo distintas pruebas técnicas y funcionales
GRC, la primera fase del proyecto consistió (estas, junto con los responsables internos),
en analizar la situación y contexto global de la construyendo escenarios, ejecutándolos y
compañía para identificar sus puntos críticos. poniéndolos en marcha.
Para llevar a cabo esta tarea,se programaron
distintos talleres en los que se levantó la Una vez implementado el modelo de GRC, al
información de la empresa, que se encontraba realizar las revisiones de auditoría se identificaron
en soportes dispersos. movimientos posteriores a los cierres contables,
que, con la evidencia arrojada por la plataforma,
Una vez concluida la fase de análisis, se pudieron aclararse sin inconvenientes para las
comenzó la etapa de diseño para definir las distintas áreas involucradas, dejando claro que la
metas del negocio, trabajando en un esquema compañía se encontraba lista para una salida a bolsa
de GRC específico para la compañía. sin contratiempos en términos de cumplimiento.
10 Delineando Estrategias
Conclusiones
Todas las empresas están sujetas a diversos riesgos que
tienen el potencial de comprometer su crecimiento o,
incluso, poner en entredicho la viabilidad del negocio
y desacelerar la generación de valor.
Si le interesa contactar al autor de este artículo o desea información adicional, favor de dirigirse al
01 800 292 5764, o si lo desea escríbanos a delineandoestrategias@kpmg.com.mx
La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y
oportuna, no puede haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas basado en dicha información
sin la debida asesoría profesional después de un estudio detallado de la situación en particular.
“D.R.” © 2017 KPMG Cárdenas Dosal, S.C., la firma mexicana miembro de la red de firmas miembro de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza.
Blvd. Manuel Ávila Camacho 176 P1, Reforma Social, Miguel Hidalgo, C.P. 11650, Ciudad de México. Impreso en México. Todos los derechos reservados.