Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GRC
Mayo, 2017
Agenda
• Enfoque de solución
• Beneficios de la modernización de la
función de Cumplimiento
• Falta de integración funcional /integración de los sistemas - extra costo (aprox. 15%) de
Ineficiencias los programas de administración de riesgo y cumplimiento.
tecnológicas
• Dificultad de tener una visión integral.
¿Estamos tomando
buenas decisiones? ¿Para mejorar Hasta ahora no
nuestra hemos sido
¿Cómo medimos medición de impactados por
el impacto / ningún riesgo
riesgo, no es
beneficio que significativamen
suficiente
tiene hoy en día te, ¿porqué
simplemente
nuestro cambiar nuestra
invertir en
¿Cómo desarrollamos una programa de metodología de
cultura inteligente frente a GRC?
tecnología?
GRC?
los riesgos?
Riesgo regulatorio
(SOX, Seguridad y Riesgo Riesgo de Riesgo Capital
Control Interno) Operacional Proyectos Humano
Cumplimiento y riesgo en cada país
Junta Directores
Cumplimiento Finanzas
Gobierno
Governance
Gobierno Legal
Manejo
Riesgos Manejo Ventas
CumplimientoRiesgos
Contratos
Manejo
Risk Mgmt.
Riesgos HR
Cumplimiento
Compliance
Cumplimiento Contraloria
Manejo
Riesgos. IT
Manejo
Gobierno Riesgos Politicas
Cumplimiento
Auditoria y
Gobierno Manejo
Riesgos Cumplimiento
Tesoreria
Requerimientos
separados R1 R2 R3 R4 R1 R2 R3 R4 R1 R2 R3 R4
C1a C2a C3a C4a C1b C2b C3b C4b C1c C2c C3c C4c
Actividades &
controles C5a C6a C7a C8a C5b C6b C7b C8b C5c C6c C7c C8c
duplicados
C9a C10a C11a C12a C9b C10b C11b C12b C9c C10c C11c C12c
Requerimientos
Comunes R1 R2 R3 R4
C1 C2 C3 C4
Actividades &
Controles C5 C6 C7 C8
Consolidados
C9 C10 C11 C12
Una vez que los controles redundantes son consolidados, el caso de negocio para automatizar los
controles y actividades de cumplimiento es más favorable
©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 9
GRC
Modelos de referencia para
GRC
Seguridad
Controles Medidas Gestión de riesgos Auditoría Interna
de la de control
gerencia interno Calidad
Inspección
Cumplimiento
Adaptado de la publicación del Instituto de Auditores Internos “The three lines of defense in
effective risk management and control” de enero de 2013
Macroproceso
Empresarial (N1)
Política
Proceso Cuenta
Empresarial (N2) contable*
Sistemas
Subproceso
Empresarial (N3) Indicador
Procedimient (ICR) Vista por Producto / Centro de
o Costo
Producto /
Pérdidas
Centro de Costo
Gestor Capturadas
Evaluación de
Categoría Riesgo
Riesgos
Categoría Control
Test de
Notas
efectividad (TOE)
Plan de Test
Test de Diseño
(TOD)
* Todos los niveles de proceso pueden estar relacionados con una o más cuentas de Contabilidad.
©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 14
GRC
Modelos de referencia para GRC
Riesgo – Taxonomía
¿Qué es?
Define un lenguaje común el cual debe incluir definiciones de los riesgos y eventos de riesgos.
¿Cómo se hace?
Incluye la creación de un diccionario de riesgos con una definición de cada categoría y
ejemplos de eventos de riesgos inherentes para garantizar que toda la Entidad utilice una misma
nomenclatura y clasificación de riesgo, es importante que el reporte de riesgos también utilice
esta misma nomenclatura.
Beneficios
Los dueños de procesos (1ª línea de defensa), en conjunto con un oficial de riesgos (2ª
línea de defensa), deben consultar el diccionario durante el mapeo de sus procesos e
identificar los riesgos aplicables a sus procesos.
Flujo de proceso
N
Reportes
generados por la
herramienta
Negocio
Soporte
Auditoria externa
• Realizar 4 sesiones de
• Realizar mesas de trabajo para • RealizarQA sobrede
sesiones lasQAacciones
definir el modelo GRC, sobre lasdesarrolladas
acciones por
considerando: Avianca,
desarrolladas, en relación con
en relación
‒ Resultados del diagnóstico la implementación
con la implementación de las de
‒ Buenas prácticas sugeridas las iniciativas críticas.
iniciativas críticas.
por los marcos de referencia • Evaluar • Evaluar las
las herramientas
• Presentar y aprobar el modelo herramientas
GRC disponibles en el GRC
GRC sugerido. mercadodisponibles en el
(alto nivel), para
mercado
que la Entidad (alto
cuente connivel),
• Priorizar las iniciativas que para que Avianca
una selección preliminar,
permitirán implementar el cuente con una
considerando:
modelo GRC definido. ‒ Modeloselección
GRC sugerido preliminar,
en la
• Talleres de sensibilización
etapa deconsiderando:
diseño
‒ Herramientas existentes
sobre el modelo GRC a • Modelo GRC
actualmente
implementar sugerido en la
etapa de diseño
• Herramientas
existentes
actualmente en
Avianca
• Plan de trabajo detallado • Actas de las sesiones de
QA, incluyendo las
• Project Charter
recomendaciones que surjan
de las mismas.
• Herramientas GRC
©2017 Deloitte Touche Tohmatsu Limited sugeridas,
Gobierno, Riesgocriterios utilizados22
y Cumplimiento
y siguientes pasos GRC
Antecedentes y
catalizadores para
modernizar la función de
cumplimiento
Las funciones de
cumplimiento se
considerarán cada vez La primera y segunda
más como una fuente Se requerirán funciones líneas de defensa
de ventaja competitiva de cumplimiento para tenderán a •ser menos
Realizar 4 sesiones de
Políticas y
del Programa
Avianca,de en relación con
la implementación de
Gobierno procedimientos Cumplimiento
las iniciativas críticas.
• Evaluar las
Genteherramientas GRC
disponibles en el
Evaluación mercado (alto nivel),
Interacción y de riesgo y para que Avianca
coordinación cambio
reguladora
cuente con una
regulatorio
selección preliminar,
Estrategia Procesos
considerando:
Cultura • Modelo GRC
sugerido en la
etapa de diseño
Comunicación
, Monitoreo y Tecnología
• Herramientas
sensibilizació pruebas existentes
n y formación
actualmente en
Avianca
• Plan de trabajo detallado • Actas de las sesiones de
QA, incluyendo las
• Project Charter Escalamiento, Datos, Analytics
recomendaciones que surjan
investigación y medición e
resolución de las mismas.
informes
• Herramientas GRC
©2017 Deloitte Touche Tohmatsu Limited sugeridas,
Gobierno, Riesgocriterios utilizados29
y Cumplimiento
y siguientes pasos GRC
Elementos fundamentales
La vinculación de la visión y la estrategia de cumplimiento con la estrategia
general de la organización es fundamental para desarrollar un programa de
gestión del riesgo de cumplimiento de toda la empresa, al igual que desarrollar
una cultura sana de ética y cumplimiento
• Realizar 4 sesiones de
QA sobre las acciones
Estrategia
desarrolladas por
Cultura Avianca, en relación con
la implementación de
las iniciativas críticas.
• Evaluar las
Cultura y estrategia herramientas GRC
disponibles en el
• Basar una fuerte cultura organizacional en un conjunto de valores y un “tono de la Gerencia”
mercado (alto nivel),
que proactivamente lidera la importancia del cumplimiento normativo y la conducta ética
para que Avianca
cuente con una
• Desarrollar y ejecutar mensajes consistentes en toda la organización selección preliminar,
considerando:
• Establecer y fomentar una "cultura de cumplimiento", incluyendo la supervisión de la junta
• Modelo GRC
directiva y la gerencia senior
sugerido en la
• Fomentar la rendición de cuentas en todos los niveles organizacionales etapa de diseño
• Herramientas
• Establecer una estrategia anual de cumplimiento, asignar los recursos a las prioridades
existentes
acordadas y lograr las medidas de éxito definidas actualmente en
Avianca
• •Desarrollar
Plan de trabajoydetallado
comunicar incentivos y acciones disciplinarias apropiados • Actas de las sesiones de
QA, incluyendo las
• Project Charter
recomendaciones que surjan
de las mismas.
• Herramientas GRC
©2017 Deloitte Touche Tohmatsu Limited sugeridas,
Gobierno, Riesgocriterios utilizados30
y Cumplimiento
y siguientes pasos GRC
Palancas para permitir la transformación y modernización
La automatización y las mejoras deben ser consideradas dentro de un
ecosistema mas amplio de personas, procesos, tecnología y analítica.
Gente Tecnología
Sistemas Herramienta
Especialistas Programas integrados de cambio
en la materia rotacionales normativo
Procesos Analítica
2 Eficiente
3 Efectiva
4
• Plan de trabajo detallado
• Project Charter Proactiva y Predictiva
©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 32
GRC
¿Cómo se moderniza?
Pasos sugeridos para determinar el camino hacia la modernización
Desarrollar y actualizar
Dar prioridad a las
la estrategia de
áreas que se deben Cumplimiento;
Determinar el estado abordar con base en Asegurar que se alinea
"modernizado" los resultados de la con la estrategia
deseado para el evaluación, el nivel de general de la
Programa de Gestión riesgo y el cambio compañía; Determinar
del Riesgo de esperado en la las medidas apropiadas
Cumplimiento organización de éxito
Fuentes de los datos: Resultados de las pruebas de cumplimiento, resultados de auditoría, problemas auto-identificados, datos
de referencia de la industria sobre problemas / multas, encuestas de la industria, desempeño empresarial, métricas de riesgo
reputacional, datos de cumplimiento del cliente.
Resultados de la modernización
Cambio transformativo: re-ingeniería de los procesos core y automatización de la función
para ser más proactiva y predictiva; Las empresas modernas necesitan estrategias de alto
nivel y modelos de confianza